Dropbox 的一个 bug 把用户的资料删除了

By admin in 科技中心 on 2019年7月6日

谨慎的朋友都会不断劝告不要过度依赖云端存储为唯一的备份工具,因为刚刚就出意外了。Dropbox
刚确认了在一些旧版本上的桌面版应用程序上有一个
bug,会把选择性同步的档案给删除掉。这情况一般会在重新启动或出现错误后出现,更严重的是有部份用户反映,即使他们没有出现以上错误也令累积多年的资料给删除了。还是有好消息的,Dropbox
说他们会尽力把错误删掉的资料给恢复过来(虽然不是全部都可以救回);而且已经发布最新版本的桌面版应用程序,以防止再有同类事情发生在旧版本上。受影响的用户会收到
Dropbox 的电邮,说会提供一年的 Dropbox Pro
服务作为赔偿。虽然这远比不上失去的资料的价值,但这亦显示到 Dropbox
的诚意吧。[图片来源:Michael Armogan]

图片 1

Dropbox的开发人员近日修复了安卓版Dropbox
SDK存储应用程序上的一个远程利用漏洞,攻击者利用该漏洞可未经用户同意直接把应用程序和Dropbox账户连接。只要用户安装的应用程序使用了含有漏洞的Dropbox
SDK,则其敏感信息就可能被攻击者窃取。

图片 2

漏洞描述

该漏洞是IBM的研究员发现,按他的原话就是:SDK的认证机制上存在一个严重漏洞。攻击者可在SDK代码中任意写入一个访问标记,绕过随机数防护。

IBM X-Force 应用程序安全研究小组组长Roee
Hay在其博客中深入分析了这一漏洞。他指出该漏洞是“特定执行漏洞(CVE-2014-8889)”,攻击者可以强制SDK泄露随机数到攻击者的服务器上,进而使防护失效。

利用获得的nonce,攻击者可把受害者设备上应用程序连接到自己的账户上(注意:不是受害者账户哦),然后欺骗他们上传敏感数据或者下载恶意数据。

Dropbox是通过OAuth请求来认证应用程序,通常情况下SDK会释放出一个很长且很复杂的加密字符或者随机数。只有在SDK产生的随机数和另一应用程序通过API返回的随机数匹配时,这两个应用程序才能互相访问。

图片 3

成功利用此漏洞的条件:

1.获得访问标记;

发表评论

电子邮件地址不会被公开。 必填项已用*标注

网站地图xml地图
Copyright @ 2010-2019 澳门金沙30064在线网站 版权所有