מפתחי אפליקציות Android צריכים לעדכן ל- SDK העדכני ביותר של SDK

2024

Урок 2. Установка и настройка Android Studio. Установка JDK. Настройка Android SDK | StartAndroid

אפליקציות Android כי השימוש Dropbox לאחסון בנויים באמצעות גרסה ישנה יותר של SDK שלה חשופים להתקפה שיכולה לגנוב נתונים, למרות Dropbox פרסמה תיקון, על פי חוקרי האבטחה של יבמ.

צוות המחקר של יבמ יישום אבטחה אמר יום רביעי היו להם מצאו דרך לקשר חשבון Dropbox משלהם לאפליקציית Android בטלפון של אדם אחר המתחבר לשירות האחסון. לאחר התקפה מוצלחת, כל הנתונים שהועלו על ידי האפליקציה מועברים לחשבון Dropbox של התוקף.

Dropbox מפרסם ערכת פיתוח תוכנה (SDK) לקישור השירות שלה לאפליקציה. הפגם, המכונה "DroppedIn", השפיע על Dropbox SDK בגירסאות 1.5.4 ועד 1.6.1 ו תוקן בגירסה 1.62, IBM אמרה בהודעה בבלוג.

[לקריאה נוספת: כיצד להסיר תוכנות זדוניות ממחשב Windows]

ההתקפה, בעוד רציני, לא קל לבצע. זה גם לא יעבוד אם לאדם יש יישום נייד של Dropbox עצמו המותקן בטלפון שלהם, והוא לא ייתן לתוקף גישה לתוכן המלא של חשבון Dropbox.

Dropbox אמר שהבעיה אינה מופיעה נוצל על ידי האקרים כדי לגשת לנתונים, וכי רוב היישומים הפופולריים באמצעות SDK שלה כבר תוקנו.

תוקף חייב קודם לקבל אסימון גישה ליישום מאופשר ב- Dropbox, שניתן לעשות זאת על ידי הורדת האפליקציה ואישור זה עבור חשבון Dropbox שלהם.

התוקף חייב אז לפתות מישהו לאתר אינטרנט או דף אינטרנט עם קוד זדוני. הקוד תופס מהטלפון של הקורבן מספר קריפטוגרפי גדול, המכונה "nonce", המשמש כחלק מתהליך האימות לקישור חשבון. עם קוד גישה ו nonce, התוקף יכול לקשר חשבון Dropbox שלהם לאפליקציה אנדרואיד של הקורבן.

דרך אחת משתמשים יכולים לדעת אם הם הותקפו היא על ידי כניסה לתוך Dropbox באמצעות מחשב ובודק אם יש קבצים זה היה צריך להישמר על ידי יישום סלולרי באמצעות Dropbox כי הם לא שם, כתבה יבמ. הוא אמר כי אין הרבה יישומי אנדרואיד המשתמשים ב- SDK של Dropbox, אבל כמה מהם פופולריים, כולל זה של Microsoft Office ו- AgileBits '1

מכיוון שכמה אפליקציות Android מושפעות עשויות שלא להתעדכן במהירות, הדרך הטובה ביותר להגן עליהן נגד ההתקפה היא להוריד את הגרסה הניידת של Dropbox, אשר "עושה ניצול בלתי אפשרי", כתבה יבמ