Эксплуатация бреши позволяла злоумышленникам похитить данные учетных записей, используя уязвимые приложения сторонних разработчиков.
Компания Dropbox исправила брешь в программном обеспечени для разработчиков (SDK) Android Core и Sync/Datastore. Ее эксплуатация позволяла злоумышленнику осуществить похищение данных учетных записей, используя уязвимые приложения сторонних разработчиков, установленных на Android-устройствах.
Комплекты Android Core и Sync/Datastore предоставляются разработчикам, которые работают с приложениями сторонних производителей, использующих сервисы Dropbox. Как отмечают в компании, в большинстве программ SDK уже обновлены, тем не менее, специалисты рекомендуют остальным разработчикам Android обновить в своих приложениях комплекты Core API Android и Sync/Datastore Android до версий 1.6.3 и 3.1.2 соответственно.
Указанная брешь затрагивает пользователей только в том случае, если на принадлежащем им Android-устройстве установлено скомпрометированное приложение от стороннего производителя, и владелец девайса посетит специфическую вредоносную web-страницу, нацеленную на уязвимую программу. Только тогда злоумышленник сможет подключить свою учетную запись в Dropbox к приложению, которое затем может быть использовано для похищения новый данных, сохраненных пользователем в облачном сервисе.
«Каждое приложение работает по-разному, поэтому многие программы, использующие затронутые SDK, не были уязвимыми, или их эксплуатация требовала дополнительных факторов. Эта брешь не предоставляла атакующим доступ к существующим в учетной записи пользователя файлам. В настоящее время нет никаких сообщений или доказательств эксплуатации уязвимости для получения доступа к данным пользователей», - говорится в сообщении компании.
От классики до авангарда — наука во всех жанрах