Eine Sicherheitslücke in dem Dropbox-SDK für Android wurde nun von Dropbox geschlossen. Durch diese Lücke konnten Angreifer auf hochgeladene Dateien zugreifen. In vielen Android-Apps kommt das SDK zum Einsatz. Die Entwickler dieser Apps sollten nun handeln und das SDK aktualisieren.

Wird eine betroffene App mit einem Dropbox-Account verknüpft, öffnet sich entweder die Dropbox-Webseite oder die Dropbox-App. Dies ist davon abhängig, ob die Dropbox-App auf dem Gerät installiert ist. Im folgenden Dialog muss der App das Recht eingeräumt werden, auf den Account zuzugreifen.

Der Angriff gelingt nur, wenn die Dropbox-App nicht installiert ist. Angreifer könnten die Apps mit dem verwundbaren SDK dazu bringen, sich mit einem anderen Account zu verbinden. Dadurch würden alle fortan hochgeladenen Dateien in der Dropbox des Angreifers landen. Die Apps Microsoft Office für Android sowie 1Password wurden bereitts von den jeweiligen Entwicklern abgesichert.

(kt, hannover)

(siehe auch heise-News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE