10 najciekawszych aplikacji na smartfona, cz. 1
Aplikacje na Androida które używają Dropbox do przechowywania i są zbudowane przy użyciu starszej wersji SDK, są podatne na atak, który może ukraść dane, chociaż Dropbox opublikował poprawkę, zgodnie z badaczami bezpieczeństwa IBM.
Zespół badawczy IBM ds. bezpieczeństwa aplikacji powiedział w środę, że znaleźliśmy sposób na połączenie własnego konta Dropbox z aplikacją na Androida na telefonie innej osoby, który łączy się z usługą pamięci masowej. Po udanym ataku wszystkie dane przesłane przez aplikację są dostarczane na konto Dropbox atakującego.
Dropbox publikuje SDK (zestaw programistyczny) do łączenia swojej usługi z aplikacją. Wada o pseudonimie "DroppedIn" dotyczyła wersji 1.5.4 do 1.6.1 Dropbox SDK i została naprawiona w wersji 1.62, powiedział IBM w poście na blogu.
[Czytaj dalej: Jak usunąć złośliwe oprogramowanie z komputera z Windows]Atak, choć poważny, nie jest łatwy do przeprowadzenia. Nie działa również, jeśli dana osoba ma zainstalowaną aplikację mobilną Dropbox na swoim telefonie i nie zapewni osobie atakującej dostępu do pełnej zawartości konta Dropbox.
Dropbox stwierdził, że problem nie wydaje się mieć zostały wykorzystane przez hakerów do uzyskania dostępu do danych, a większość popularnych aplikacji używających SDK zostało załatanych.
Osoba atakująca musi najpierw uzyskać token dostępu do aplikacji obsługującej Dropbox, co można zrobić, pobierając aplikację i autoryzując dla własnego konta Dropbox.
Osoba atakująca musi następnie zwabić kogoś do witryny lub strony internetowej za pomocą złośliwego kodu. Kod pobiera z telefonu ofiary duży numer kryptograficzny, nazywany "nonce", który jest używany jako część procesu uwierzytelniania w celu połączenia konta. Za pomocą kodu dostępu i numeru cudzoziemiec może połączyć własne konto Dropbox z aplikacją na Androida ofiary.
Jednym ze sposobów, w jaki użytkownicy mogą stwierdzić, czy zostali zaatakowani, jest zalogowanie się do Dropbox przy użyciu komputera i sprawdzenie, czy są jakieś pliki to powinno zostać zapisane przez aplikację mobilną z Dropbox, którego tam nie ma - napisał IBM. Stwierdzono, że nie ma zbyt wielu aplikacji na Androida, które korzystają z SDK Dropbox, ale jest kilka popularnych aplikacji, w tym Microsoft Office Mobile i 1Password.
Ponieważ niektóre aplikacje na Androida mogą być niedokładnie aktualizowane, najlepszym sposobem na obronę przeciw atakowi polega na pobraniu mobilnej wersji Dropbox, która "uniemożliwia eksploatację" - napisał IBM.
Programiści aplikacji na Androida powinni zaktualizować pakiet SDK do najnowszej wersji Dropboksa
. Luka może umożliwić przesłanie plików Dropbox na konto innej osoby
Aplikacji Google do uruchamiania aplikacji Chrome w celu dostosowania rodzimych aplikacji Androida do Chromebooków
Pomyśl o uruchomieniu aplikacji dla Chrome jako wbudowanej wersji aplikacji Pakiety Google dla systemu operacyjnego Chrome. Po pierwsze: niesamowita aplikacja wideo VLC.
