Dropbox的開發(fā)人員近日修復(fù)了安卓版Dropbox SDK存儲應(yīng)用程序上的一個遠程利用漏洞���,攻擊者利用該漏洞可未經(jīng)用戶同意直接把應(yīng)用程序和Dropbox賬戶連接�����。只要用戶安裝的應(yīng)用程序使用了含有漏洞的Dropbox SDK���,則其敏感信息就可能被攻擊者竊取���。
漏洞描述
該漏洞是IBM的研究員發(fā)現(xiàn)�����,按他的原話就是:SDK的認證機制上存在一個嚴重漏洞�����。攻擊者可在SDK代碼中任意寫入一個訪問標記,繞過隨機數(shù)防護�����。
IBM X-Force 應(yīng)用程序安全研究小組組長Roee Hay在其博客中深入分析了這一漏洞。他指出該漏洞是“特定執(zhí)行漏洞(CVE-2014-8889)”���,攻擊者可以強制SDK泄露隨機數(shù)到攻擊者的服務(wù)器上���,進而使防護失效。
利用獲得的nonce�,攻擊者可把受害者設(shè)備上應(yīng)用程序連接到自己的賬戶上(注意:不是受害者賬戶哦)���,然后欺騙他們上傳敏感數(shù)據(jù)或者下載惡意數(shù)據(jù)���。
Dropbox是通過OAuth請求來認證應(yīng)用程序,通常情況下SDK會釋放出一個很長且很復(fù)雜的加密字符或者隨機數(shù)。只有在SDK產(chǎn)生的隨機數(shù)和另一應(yīng)用程序通過API返回的隨機數(shù)匹配時�,這兩個應(yīng)用程序才能互相訪問。
成功利用此漏洞的條件:
1.獲得訪問標記�;
2.誘騙受害者到一個惡意網(wǎng)站�;
3.泄露受害者的nonce到他們的服務(wù)器�;
4.冒充nonce訪問Dropbox;
5.在目標應(yīng)用程序中注入他們自己的標記�。
IBM的研究人員提供了該漏洞的相關(guān)POC��,其中杜撰了一個名叫DroppedIn的漏洞�。視頻中研究者詳細介紹了怎樣利用該漏洞把受害者的應(yīng)用程序連接到自己的Dropbox賬戶或者舊版本的1Password上�。一旦受害者錯誤的訪問了受攻擊者控制的網(wǎng)站�����,1Password上的Dropbox SDK代碼就會被攻擊者利用�,然后攻擊者就可訪問受害者的vault。
POC視頻
許多應(yīng)用程序都使用了存在漏洞的SDK����,像1Password和Microsoft Office Mobile;當(dāng)然這些應(yīng)用程序的用戶現(xiàn)在也不必驚慌�����,因為自IBM提交了這一漏洞之后�,它們就及時更新了自己的應(yīng)用程序;但還需提醒用戶的是��,要確保你們的使用的是最新版本的應(yīng)用程序才行。
小編推薦閱讀
