Dropbox hat eine Schwachstelle in seinen Android-SDKs beseitigt, wie es in seinem Entwicklerblog mitteilt. Durch den Fehler konnten Angreifer theoretisch neue Daten abgreifen, die von Android-Nutzern über Drittanbieter-Apps in ihr Dropbox-Konto hochgeladen wurden.
Von dem Problem betroffen waren aber nur Anwender, die eine entsprechende Drittentwickler-Anwendung auf ihrem Android-Gerät einsetzen, ohne die originale Dropbox-App installiert zu haben. Außerdem mussten sie zusätzlich eine manipulierte Website in ihrem Android-Browser aufrufen oder eine Schadsoftware auf ihrem Telefon installieren, wie Dropbox ausführt. Nur dann konnte ein Angreifer den Dropbox-Account mit einer anfälligen Drittanbieter-App auf dem Gerät des Nutzers verknüpfen, um auf diese Weise an neu hochgeladene Dateien zu kommen.
Im Core API Android SDK 1.6.3 und Sync/Datastore Android SDK 3.1.2 wurde die Sicherheitslücke Dropbox zufolge geschlossen. Android-Entwickler sind aufgerufen, ihre Anwendungen so zu aktualisieren, dass sie die neuen SDK-Versionen nutzen.
„Jede App arbeitet anders, so dass viele Apps, die die betroffenen SDKs verwendeten, dennoch nicht anfällig waren oder nur durch zusätzliche Faktoren ausgenutzt werden konnten“, erklärt Devdatta Akhawe, Security Engineer bei Dropbox. Zugleich betont er, dass die Schwachstelle Angreifern keinerlei Zugang zu bestehenden Dateien in Dropbox-Konten erlaubt habe. Man habe auch keine Kenntnisse darüber, dass die Lücke tatsächlich ausgenutzt wurde, um Zugriff auf Nutzerdaten zu erhalten.
Entdeckt wurde die Schwachstelle von Mitarbeitern des IBM X-Force Application Security Research Team. Roee Hay und Or Peles meldeten die von ihnen als „DroppedIn“ bezeichnete Lücke im Dezember an Dropbox. Das Unternehmen habe sehr schnell reagiert und nur innerhalb von vier Tagen einen Patch bereitgestellt. Öffentlich informierte es aber erst jetzt über die Schwachstelle.
Zu den bekanntesten Nutzern der Dropbox-SDKs zählen Microsoft, das sie für seine Office-Mobile-App einsetzt, und AgileBits, das den Passwortmanager 1Password anbietet. Beide Firmen haben ihre Anwendungen inzwischen abgesichert, nachdem Dropbox sie informiert hatte.
[mit Material von Charlie Osborne und Natalie Gagliordi, ZDNet.com]
Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…
Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…
Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…
Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…
