笑話大全ico
您當前的位置 :廈門門戶網>黑客安全>漏洞分析> 正文
Dropbox SDK存在遠程利用漏洞 已緊急修復
2015-03-13 19:15來源:廈門門戶網
【摘要】
Dropbox的開發人員近日修復了安卓版Dropbox SDK存儲應用程序上的一個遠程利用漏洞,攻擊者利用該漏洞可未經用戶同意直接把應用程序和Dropbox賬戶連接。只要用戶安裝的應用程序使用了含有漏洞

Dropbox的開發人員近日修復了安卓版Dropbox SDK存儲應用程序上的一個遠程利用漏洞,攻擊者利用該漏洞可未經用戶同意直接把應用程序和Dropbox賬戶連接。只要用戶安裝的應用程序使用了含有漏洞的Dropbox SDK,則其敏感信息就可能被攻擊者竊取。 新名堂xmtang.com

Dropbox SDK存在遠程利用漏洞 已緊急修復 軟件下載就到soft.xmyy.com

漏洞描述 MD5密碼在線加密解密破解cnmd5.com

該漏洞是IBM的研究員發現,按他的原話就是:SDK的認證機制上存在一個嚴重漏洞。攻擊者可在SDK代碼中任意寫入一個訪問標記,繞過隨機數防護。 新名堂xmtang.com

IBM X-Force 應用程序安全研究小組組長Roee Hay在其博客中深入分析了這一漏洞。他指出該漏洞是“特定執行漏洞(CVE-2014-8889)”,攻擊者可以強制SDK泄露隨機數到攻擊者的服務器上,進而使防護失效。 廈門門戶網xmyy.com xmdoor.com

利用獲得的nonce,攻擊者可把受害者設備上應用程序連接到自己的賬戶上(注意:不是受害者賬戶哦),然后欺騙他們上傳敏感數據或者下載惡意數據。

網址導航就用ok118.com

Dropbox是通過OAuth請求來認證應用程序,通常情況下SDK會釋放出一個很長且很復雜的加密字符或者隨機數。只有在SDK產生的隨機數和另一應用程序通過API返回的隨機數匹配時,這兩個應用程序才能互相訪問。

搜什么,找蝦米搜索xmsou.com

Dropbox SDK存在遠程利用漏洞 已緊急修復 廈門臺球xmpool.com

成功利用此漏洞的條件: 廈門紙業xmpaper.com

1.獲得訪問標記; 廈門紙業xmpaper.com

2.誘騙受害者到一個惡意網站; 搜什么,找蝦米搜索xmsou.com

3.泄露受害者的nonce到他們的服務器;

廈門門戶網xmyy.com xmdoor.com

4.冒充nonce訪問Dropbox;

廈門門戶網xmyy.com xmdoor.com

5.在目標應用程序中注入他們自己的標記。

找工作、找人才,就上廈門人才市場網站xmrcsc.com

IBM的研究人員提供了該漏洞的相關POC,其中杜撰了一個名叫DroppedIn的漏洞。視頻中研究者詳細介紹了怎樣利用該漏洞把受害者的應用程序連接到自己的Dropbox賬戶或者舊版本的1Password上。一旦受害者錯誤的訪問了受攻擊者控制的網站,1Password上的Dropbox SDK代碼就會被攻擊者利用,然后攻擊者就可訪問受害者的vault。

網址導航就用ok118.com

POC視頻

MD5密碼在線加密解密破解cnmd5.com

廈門紙業xmpaper.com

許多應用程序都使用了存在漏洞的SDK,像1Password和Microsoft Office Mobile;當然這些應用程序的用戶現在也不必驚慌,因為自IBM提交了這一漏洞之后,它們就及時更新了自己的應用程序;但還需提醒用戶的是,要確保你們的使用的是最新版本的應用程序才行。

軟件下載就到soft.xmyy.com

受影響的SDK版本: 中國破解cncrack.com

1.5.4-1.6.1版本的Dropbox SDK都存在安全漏洞,而1.6.3版本的DropboxSDK不存在該漏洞。 網址導航就用ok118.com

標簽(Tag):Dropbox  遠程利用漏洞  
官方郵箱:[email protected] 官方微信:xmyy_com 官方微博:
 
  • 掃描二維碼關注官方微信

山东十一选五走势图360