Dropbox hat eine Schwachstelle in seinen Android-SDKs beseitigt, wie es in seinem Entwicklerblog mitteilt. Durch den Fehler konnten Angreifer theoretisch neue Daten abgreifen, die von Android-Nutzern über Drittanbieter-Apps in ihr Dropbox-Konto hochgeladen wurden.
Von dem Problem betroffen waren aber nur Anwender, die eine entsprechende Drittentwickler-Anwendung auf ihrem Android-Gerät einsetzen, ohne die originale Dropbox-App installiert zu haben. Außerdem mussten sie zusätzlich eine manipulierte Website in ihrem Android-Browser aufrufen oder eine Schadsoftware auf ihrem Telefon installieren, wie Dropbox ausführt. Nur dann konnte ein Angreifer den Dropbox-Account mit einer anfälligen Drittanbieter-App auf dem Gerät des Nutzers verknüpfen, um auf diese Weise an neu hochgeladene Dateien zu kommen.
Im Core API Android SDK 1.6.3 und Sync/Datastore Android SDK 3.1.2 wurde die Sicherheitslücke Dropbox zufolge geschlossen. Android-Entwickler sind aufgerufen, ihre Anwendungen so zu aktualisieren, dass sie die neuen SDK-Versionen nutzen.
„Jede App arbeitet anders, so dass viele Apps, die die betroffenen SDKs verwendeten, dennoch nicht anfällig waren oder nur durch zusätzliche Faktoren ausgenutzt werden konnten“, erklärt Devdatta Akhawe, Security Engineer bei Dropbox. Zugleich betont er, dass die Schwachstelle Angreifern keinerlei Zugang zu bestehenden Dateien in Dropbox-Konten erlaubt habe. Man habe auch keine Kenntnisse darüber, dass die Lücke tatsächlich ausgenutzt wurde, um Zugriff auf Nutzerdaten zu erhalten.
Entdeckt wurde die Schwachstelle von Mitarbeitern des IBM X-Force Application Security Research Team. Roee Hay und Or Peles meldeten die von ihnen als „DroppedIn“ bezeichnete Lücke im Dezember an Dropbox. Das Unternehmen habe sehr schnell reagiert und nur innerhalb von vier Tagen einen Patch bereitgestellt. Öffentlich informierte es aber erst jetzt über die Schwachstelle.
Zu den bekanntesten Nutzern der Dropbox-SDKs zählen Microsoft, das sie für seine Office-Mobile-App einsetzt, und AgileBits, das den Passwortmanager 1Password anbietet. Beide Firmen haben ihre Anwendungen inzwischen abgesichert, nachdem Dropbox sie informiert hatte.
[mit Material von Charlie Osborne und Natalie Gagliordi, ZDNet.com]
Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…
