CHROMANCE - Wrap Me In #Plastic (đài Marcus Layton edit)
스토리지 서비스에 연결된 다른 사람의 휴대 전화에서 자신의 보관 용 계정을 Android 앱에 연결하는 방법을 찾았습니다. 공격이 성공하면 앱이 업로드 한 모든 데이터가 공격자의 보관 용 계정에 전달됩니다.
Dropbox는 서비스를 앱에 연결하기위한 SDK (소프트웨어 개발 키트)를 게시합니다. Dropbox SDK 버전 1.5.4에서 1.6.1에 영향을주고 버전 1.62에서 수정되었다고 IBM이 블로그 포스트에서 밝혔다.
[추가 정보 : Windows PC에서 악성 코드 제거 방법]
Dropbox에 문제가없는 것처럼 보입니다. 해커가 데이터에 액세스하는 데 사용되었으며 SDK를 사용하는 인기있는 앱의 대부분이 패치되었습니다.
공격자는 먼저 Dropbox 사용 앱에 대한 액세스 토큰을 얻어야합니다.이 토큰은 앱을 다운로드하고 승인 자신의 Dropbox 계정 용입니다.
그러면 침입자는 악의적 인 코드가있는 웹 사이트 또는 웹 페이지로 누군가를 유인해야합니다. 이 코드는 피해자의 전화에서 계정을 연결하는 인증 프로세스의 일부로 사용되는 "nonce"라고하는 큰 암호화 번호를 가져옵니다. 액세스 코드와 넌스를 사용하여 공격자는 자신의 Dropbox 계정을 피해자의 Android 앱에 연결할 수 있습니다.
사용자가 공격을 받았는지 여부를 알 수있는 한 가지 방법은 PC를 사용하여 Dropbox에 로그인하고 파일이 있는지 확인하는 것입니다 IBM은 Dropbox를 사용하는 모바일 앱에 저장되어 있어야한다고 주장했다. Dropbox의 SDK를 사용하는 Android 앱은 많지 않지만 Microsoft의 Office Mobile과 AgileBits의 1Password를 포함하여 인기있는 앱이 많이 있습니다.
영향을받는 일부 Android 앱이 신속하게 업데이트되지 않을 수 있으므로 방어하기에 가장 좋은 방법입니다. 공격에 대항하는 것은 Dropbox의 모바일 버전을 다운로드하는 것인데, 이것은 "착취를 불가능하게 만든다."IBM이 썼다.
릴리스 이후 Java 7 패치 시간에 중요한 취약점 발견 연구원은 릴리스 이후 Java 7 패치 시간에 치명적인 취약점 발견 폴란드 기반 보안 회사 인 Security Explorations의 보안 연구원은 폴란드 보안 업체 인 Security Explorations의 보안 연구원은 목요일에 발표 된 Java 7 보안 업데이트에서 Java 샌드 박스를 벗어나 임의 코드를 실행할 수있는 취약점을 발견했다고 주장했다.
Security Explorations는 금요일에 오라클에 대한 취약성에 대한 보고서를 금요일에 개념 증명 익스플로잇과 함께 보냈다고 보안 회사의 설립자이자 CEO 인 Adam Gowdiak는 이메일을 통해 금요일에 말했다.
Dropbox 파일을 다른 사람의 계정으로 업로드 할 수있는 취약점
Android 앱 IBM의 보안 연구원에 따르면 스토리지 용 Dropbox를 사용하고 SDK의 이전 버전을 사용하여 빌드 된 IBM은 데이터를 도용 할 수있는 공격에 취약합니다. IBM 보안 연구원에 따르면 Dropbox는 수정 사항을 발표했습니다.
