ไอบีเอ็มรายงานช่องโหว่ความปลอดภัยใน Dropbox SDK สำหรับแอนดรอยด์ตั้งแต่รุ่น 1.5.4 ไปจนถึงรุ่น 1.6.1 ที่เปิดให้แฮกเกอร์สามารถหลอกให้เหยื่อซิงก์ไฟล์เข้าไปยังบัญชีของแฮกเกอร์แทนที่บัญชีของผู้ใช้ที่กำลังล็อกอินได้
ปัญหาเกิดจาก SDK รุ่นที่ระบุรองรับค่าเพิ่มเติม (extra) ที่ชื่อว่า “INTERNAL_WEB_HOST” เพื่อบอก SDK ให้ส่งข้อมูลไปยังเซิร์ฟเวอร์ที่ระบุได้ โดย Intent นี้รับข้อมูลจากแอพพลิเคชั่นใดๆ ทำให้สามารถยิง Intent มาจากเบราว์เซอร์ได้ด้วย ทีมงานไอบีเอ็มสาธิตการโจมตีโดยเพิ่มค่าผ่านเว็บ และขโมยค่า nonce จาก SDK จากนั้นจึงสร้าง token+nonce ส่งกลับให้ตัวแอพพลิเคชั่น เมื่อผู้ใช้ล็อกอินภายหลังตัว SDK จะใช้ token+nonce ที่ได้รับมาจากแฮกเกอร์แทนที่จะสร้างใหม่ จะกลายเป็นการล็อกอินบัญชีของแฮกเกอร์แทนที่จะเป็นบัญชีของผู้ใช้เอง
ไอบีเอ็มระบุว่าทีมงาน Dropbox ใช้เวลาเพียงสี่วันแก้ปัญหาโดยไม่รับค่า INTERNAL_WEB_HOST อีกแล้ว สำหรับนักพัฒนาแอพพลิเคชั่นทั่วไปควรเร่งอัพเดต SDK โดยเร็ว ซึ่งช่องโหว่นี้จะไม่มีผลหากผู้ใช้ติดตั้งแอพพลิเคชั่น Dropbox ไว้ในเครื่อง แม้จะไม่ได้ล็อกอินก็ช่วยป้องกันได้เช่นกัน
ที่มา : blognone
Leave a comment!
You must be logged in to post a comment.