IBM在3月11日发布的对该问题的分析中指出,该软件开发工具包(SDK)中的漏洞允许第三方Android应用程序将数据保存到Dropbox用户帐户中,这可能使攻击者将数据重新路由到备用帐户中。
这种被IBM称为DroppedIn的渗透漏洞会影响1.5.4版和更高版本的Dropbox SDK,并且可能被恶意网站或受害者智能手机上安装的应用程序利用。利用此漏洞将使目标第三方应用程序与受害者的Dropbox帐户断开链接,并将该应用程序链接至攻击者的帐户。尽管攻击者无法访问存储在Dropbox服务器上的文件,但受害者打算从目标应用程序保存到其Dropbox帐户的任何数据都将被复制到攻击者的帐户。
该攻击利用软件开发工具包处理“意图”的弱点,“意图”是一种Android编程结构,允许将一个应用程序链接到其他应用程序。
想法是,您诱使最终用户去一个恶意网站,该网站与Android上的意图相违背,并导致一系列事件发生,从而将存储从受害人的Dropbox帐户切换到攻击者的Dropbox帐户,” Caleb IBM移动管理和安全副总裁Barlow告诉eWEEK。
Dropbox将此问题归类为“次要”安全漏洞,并指出,只有在满足以下三个条件的情况下,Android用户才会受到攻击:在用户的设备上安装了攻击者针对的应用程序,未安装Dropbox应用程序,并且用户访问了恶意网页或安装了恶意应用程序。
该公司在发送给eWEEK的一份声明中说:“没有报告或证据表明该漏洞曾经被用来访问用户数据。”
作为IBM对该问题的初步研究的一部分,测试了41个应用程序,其中76%容易受到攻击。Dropbox于12月使用适用于Android的1.62版SDK解决了该问题,但两家公司并没有立即披露此问题,以给第三方开发人员更多的时间来使用新的SDK更新其软件。
Barlow说:“移动应用程序开发人员需要进入应用程序并对其进行更新,他们的客户需要在手机上安装更新后的应用程序。”
IBM在12月将此问题通知了Dropbox,并赞扬该公司的响应。云存储服务在六分钟内响应了该漏洞的初始报告,在二十四小时内确认了该问题,并在收到漏洞通知后四天内发布了补丁。该公司在一份声明中说:“这是IBM安全团队在其悠久的漏洞研究历史中看到的最快的响应时间之一。”
用户保护自己最简单的方法是在其移动设备上安装Dropbox客户端。一旦安装了Dropbox的实际应用,第三方软件将使用客户端链接到用户的Dropbox帐户,他们免疫抗攻击。
IBM在分析中说:“最终用户应将其应用程序更新到最新版本,并安装Dropbox应用程序,这使得无法进行利用。”