يجب على مطوري تطبيقات Android تحديث أحدث SDK لـ Dropbox

2024

Ù…Ù† Ø²ÙŠÙ†Ùˆ Ù†Ù‡Ø§Ø± Ø§Ù„ÙŠÙˆÙ… ØµØ Ø¹ÙŠØ¯ÙƒÙ… Ø§Ù†Ø´Ø± Ø§Ù„ÙÙŠØ¯ÙŠÙˆ ØØªÙ‰ ÙŠØ±Ø§Ù‡ ÙƒÙ„ Ø§Ù„Ø

تطبيقات Android التي تستخدم دروب بوكس للتخزين ويتم بناؤها باستخدام نسخة قديمة من SDK لها عرضة للهجوم الذي يمكن سرقة البيانات ، على الرغم من أن دروب بوكس قد أصدر إصلاحا ، وفقا لباحثين أمن IBM.

فريق البحث الأمني تطبيق آي بي إم قال يوم الاربعاء انهم لديهم العثور على طريقة لربط حساب Dropbox الخاص به بتطبيق Android على هاتف شخص آخر يتصل بخدمة التخزين. بعد هجوم ناجح ، يتم تسليم أي بيانات تم تحميلها بواسطة التطبيق إلى حساب Dropbox للمهاجم.

يقوم Dropbox بنشر SDK (مجموعة تطوير البرامج) لربط خدماته بتطبيق. العيب ، الملقب بـ "DroppedIn ،" أثر على إصدارات Dropbox SDK 1.5.4 حتى 1.6.1 وتم إصلاحه في الإصدار 1.62 ، حسبما ذكرت IBM في مشاركة مدونة.

[المزيد من القراءة: كيفية إزالة البرامج الضارة من جهاز كمبيوتر يعمل بنظام Windows]

الهجوم ، على الرغم من خطورته ، ليس من السهل القيام به. ولن ينجح أيضًا في حالة تثبيت تطبيق الجوّال الخاص به لدى Dropbox على هاتفه ، ولن يمنح أحد المهاجمين حق الوصول إلى المحتوى الكامل لحساب Dropbox.

قال Dropbox أن المشكلة لا يبدو أنها تحتوي على تم استغلالها من قبل المتسللين للوصول إلى البيانات ، وأن معظم التطبيقات الشائعة التي تستخدم SDK قد تم تصحيحها.

يجب أن يحصل المهاجم أولاً على رمز وصول لتفعيل تطبيق Dropbox ، والذي يمكن إجراؤه عن طريق تنزيل التطبيق والتفويض بالنسبة إلى حساب Dropbox الخاص بهم.

يجب على المهاجم بعد ذلك جذب شخص إلى موقع ويب أو صفحة ويب تحتوي على شفرة ضارة. يمسك الرمز من هاتف الضحية برقم تشفير كبير ، يُعرف باسم "nonce" ، والذي يُستخدم كجزء من عملية المصادقة لربط حساب. باستخدام رمز الوصول و nonce ، يمكن للمهاجم ربط حساب Dropbox الخاص به بتطبيق Android الخاص بالضحية.

طريقة واحدة يمكن للمستخدمين معرفة ما إذا كانوا قد تعرضوا لهجوم عن طريق تسجيل الدخول إلى Dropbox باستخدام جهاز كمبيوتر والتأكد من وجود ملفات كان يجب أن يتم حفظها بواسطة تطبيق جوّال باستخدام Dropbox غير موجود ، كتبت شركة IBM. قال إنه لا يوجد العديد من تطبيقات Android التي تستخدم SDK لـ Dropbox ، ولكن هناك تطبيقين شائعين ، بما في ذلك Microsoft Office Mobile و AgileBits '1Password.

نظرًا لأن بعض تطبيقات Android المتأثرة قد لا يتم تحديثها بسرعة ، فإن أفضل طريقة للدفاع عنها ضد الهجوم هو تحميل النسخة المحمولة من Dropbox ، والتي "يجعل الاستغلال المستحيل ،" كتب IBM