主站

分类

漏洞 工具 极客 web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据库安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

FreeBuf+小程序

官方公众号企业安全新浪微博

国内领先的互联网安全新媒体,同时也是爱好者们交流与分享安全技术的社区

Dropbox SDK存在远程利用漏洞,已紧急修复
2015-03-13 06:05:21

*本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。

Dropbox的开发人员近日修复了安卓版Dropbox SDK存储应用程序上的一个远程利用漏洞,攻击者利用该漏洞可未经用户同意直接把应用程序和Dropbox账户连接。只要用户安装的应用程序使用了含有漏洞的Dropbox SDK,则其敏感信息就可能被攻击者窃取。

漏洞描述

该漏洞是IBM的研究员发现,按他的原话就是:SDK的认证机制上存在一个严重漏洞。攻击者可在SDK代码中任意写入一个访问标记,绕过随机数防护。

IBM X-Force 应用程序安全研究小组组长Roee Hay在其博客中深入分析了这一漏洞。他指出该漏洞是“特定执行漏洞(CVE-2014-8889)”,攻击者可以强制SDK泄露随机数到攻击者的服务器上,进而使防护失效。

利用获得的nonce,攻击者可把受害者设备上应用程序连接到自己的账户上(注意:不是受害者账户哦),然后欺骗他们上传敏感数据或者下载恶意数据。

Dropbox是通过OAuth请求来认证应用程序,通常情况下SDK会释放出一个很长且很复杂的加密字符或者随机数。只有在SDK产生的随机数和另一应用程序通过API返回的随机数匹配时,这两个应用程序才能互相访问。

成功利用此漏洞的条件:

1.获得访问标记;
2.诱骗受害者到一个恶意网站;
3.泄露受害者的nonce到他们的服务器;
4.冒充nonce访问Dropbox;
5.在目标应用程序中注入他们自己的标记。

IBM的研究人员提供了该漏洞的相关POC,其中杜撰了一个名叫DroppedIn的漏洞。视频中研究者详细介绍了怎样利用该漏洞把受害者的应用程序连接到自己的Dropbox账户或者旧版本的1Password上。一旦受害者错误的访问了受攻击者控制的网站,1Password上的Dropbox SDK代码就会被攻击者利用,然后攻击者就可访问受害者的vault。

POC视频

许多应用程序都使用了存在漏洞的SDK,像1Password和Microsoft Office Mobile;当然这些应用程序的用户现在也不必惊慌,因为自IBM提交了这一漏洞之后,它们就及时更新了自己的应用程序;但还需提醒用户的是,要确保你们的使用的是最新版本的应用程序才行。

受影响的SDK版本:

1.5.4-1.6.1版本的Dropbox SDK都存在安全漏洞,而1.6.3版本的DropboxSDK不存在该漏洞。

[参考来源threatpost,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)]

本文作者:, 转载请注明来自FreeBuf.COM

# 漏洞 # DROPBOX # SDK
被以下专栏收录,发现更多精彩内容
+ 收入我的专栏
评论 按时间排序

登录/注册后在FreeBuf发布内容哦

相关推荐
  • 0 文章数
  • 0 评论数
  • 0 关注者
登录 / 注册后在FreeBuf发布内容哦