Dropbox schließt Sicherheitslücke unter Android

Sie steckte in seinen Software Development Kits. Unter bestimmten Umständen konnten Angreifer sie ausnutzen, um Daten abzugreifen, die von Android-Nutzern über Drittanbieter-Apps neu auf Dropbox hochgeladen wurden. Entdeckt wurde der Fehler von IBM-Mitarbeitern.

Dropbox hat eine Schwachstelle in seinen Android-SDKs beseitigt, wie es in seinem Entwicklerblog mitteilt. Durch den Fehler konnten Angreifer theoretisch neue Daten abgreifen, die von Android-Nutzern über Drittanbieter-Apps in ihr Dropbox-Konto hochgeladen wurden.

Dropbox-Logo (Bild: Dropbox)

Von dem Problem betroffen waren aber nur Anwender, die eine entsprechende Drittentwickler-Anwendung auf ihrem Android-Gerät einsetzen, ohne die originale Dropbox-App installiert zu haben. Außerdem mussten sie zusätzlich eine manipulierte Website in ihrem Android-Browser aufrufen oder eine Schadsoftware auf ihrem Telefon installieren, wie Dropbox ausführt. Nur dann konnte ein Angreifer den Dropbox-Account mit einer anfälligen Drittanbieter-App auf dem Gerät des Nutzers verknüpfen, um auf diese Weise an neu hochgeladene Dateien zu kommen.

Im Core API Android SDK 1.6.3 und Sync/Datastore Android SDK 3.1.2 wurde die Sicherheitslücke Dropbox zufolge geschlossen. Android-Entwickler sind aufgerufen, ihre Anwendungen so zu aktualisieren, dass sie die neuen SDK-Versionen nutzen.

„Jede App arbeitet anders, so dass viele Apps, die die betroffenen SDKs verwendeten, dennoch nicht anfällig waren oder nur durch zusätzliche Faktoren ausgenutzt werden konnten“, erklärt Devdatta Akhawe, Security Engineer bei Dropbox. Zugleich betont er, dass die Schwachstelle Angreifern keinerlei Zugang zu bestehenden Dateien in Dropbox-Konten erlaubt habe. Man habe auch keine Kenntnisse darüber, dass die Lücke tatsächlich ausgenutzt wurde, um Zugriff auf Nutzerdaten zu erhalten.

Entdeckt wurde die Schwachstelle von Mitarbeitern des IBM X-Force Application Security Research Team. Roee Hay und Or Peles meldeten die von ihnen als „DroppedIn“ bezeichnete Lücke im Dezember an Dropbox. Das Unternehmen habe sehr schnell reagiert und nur innerhalb von vier Tagen einen Patch bereitgestellt. Öffentlich informierte es aber erst jetzt über die Schwachstelle.

Zu den bekanntesten Nutzern der Dropbox-SDKs zählen Microsoft, das sie für seine Office-Mobile-App einsetzt, und AgileBits, das den Passwortmanager 1Password anbietet. Beide Firmen haben ihre Anwendungen inzwischen abgesichert, nachdem Dropbox sie informiert hatte.

[mit Material von Charlie Osborne und Natalie Gagliordi, ZDNet.com]

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Themenseiten: Android, Anwendungsentwicklung, Dropbox, Secure-IT

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Dropbox schließt Sicherheitslücke unter Android

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *