DropboxはサービスをアプリケーションにリンクするためのSDK(ソフトウェア開発キット)を公開します。 Dropbox SDKバージョン1.5.4から1.6.1に影響を与え、バージョン1.62で修正されたという脆弱性は、ブログ記事でも言及されている。
[詳しい情報:Windows PCからマルウェアを削除する方法]
攻撃は深刻だが、実行するのは容易ではない。 Dropboxの携帯アプリを自分の電話にインストールしていて、Dropboxアカウントの全コンテンツに攻撃者がアクセスすることはできません。
Dropboxに問題はないようですデータにアクセスするためにハッカーによって悪用されており、そのSDKを使用している人気のあるアプリのほとんどがパッチされていることを示しています。攻撃者はまず、Dropbox対応アプリのアクセストークンを取得する必要があります。
攻撃者は誰かを悪質なコードを持つウェブサイトやウェブページに誘導する必要があります。このコードは被害者の電話から、「ナンス」と呼ばれる大きな暗号番号を取得します。これは、アカウントをリンクするための認証プロセスの一部として使用されます。アクセスコードとナンスで、攻撃者は自分のDropboxアカウントを被害者のAndroidアプリにリンクすることができます。
攻撃されたかどうかをユーザーが判断できる方法の1つは、PCを使用してDropboxにログインし、 Dropboxを使ってモバイルアプリで保存されているはずのものだとIBMは書いている。 DropboxのSDKを使用するAndroidアプリはあまりないが、MicrosoftのOffice MobileやAgileBitsの1Passwordなど、いくつかの人気アプリがある。
影響を受ける一部のAndroidアプリはすぐに更新されない可能性があるため、攻撃に対する攻撃はDropboxのモバイル版をダウンロードすることであり、これは「搾取が不可能になる」とIBMが書いた。
Dropboxファイルを他のユーザーのアカウントにアップロードできる脆弱性
AndroidアプリIBMのセキュリティ研究者によると、Dropboxがストレージを使用し、古いバージョンのSDKを使用して構築されたものは、Dropboxが修正をリリースしたにもかかわらず、データを盗む可能性のある攻撃に対して脆弱である。ストレージサービスに接続している別の人の電話で、自分のDropboxアカウントをAndroidアプリにリンクする方法を見つけました。成功した攻撃の後、アプリケーションによってアップロードされたデータは、攻撃者のDropboxアカウントに配信されます。