DroppedIn-Schwachstelle

Dropbox SDK gefährdete andere Android Apps

| Redakteur: Stephan Augsten

Dropbox leistet bei der Schwachstellen-Bekämpfung offensichtlich gute Arbeit.
Dropbox leistet bei der Schwachstellen-Bekämpfung offensichtlich gute Arbeit. (Bild: IBM X-Force)

Im Dropbox Software Development Kit (SDK) wurde eine schwere Sicherheitslücke gefunden. Das SDK dient Android-Entwicklern dazu, den Dropbox-Cloud-Speicher mit eigenen Apps und Diensten zu verbinden. Aufgedeckt wurde die Anfälligkeit durch das IBM X-Force-Team.

Sicherheitsforscher aus dem IBM X-Force Application Security Research Team warnen vor einer „massiven Sicherheitslücke im Software Development Kit von Dropbox“. Dieses stellt die Schnittstellen bereit, um andere Android-Anwendungen an den Cloud-Speicher anzubinden.

Über die „DroppedIn“ getaufte Schwachstelle können Angreifer auf entsprechende Apps zugreifen. Infolge dessen könnten Angreifer Dateien, die sich auf den mobilen Geräten befinden, in eine eigene Dropbox herunterladen oder eigene Dateien in der Dropbox des Opfers ablegen. Betroffen sind die SDK-Versionen 1.5.4 bis 1.6.1.

Die Entwickler von Dropbox wurden vom X-Force-Team zeitnah informiert und haben laut IBM in Rekordzeit reagiert. Die Anfälligkeit wurde in weniger als 24 Stunden verifiziert, ein Patch wurde vier Tage später veröffentlicht.

Gefährdet war unter anderem die bereits über zehn Millionen Mal heruntergeladene Microsoft Office Mobile App. Zu den anfälligen Apps zählten auch der Password Manager von AgileBits mit rund 100.000 Downloads sowie Yahoo Mail und verschiedene Mini-Anwendungen zur Bildverarbeitung.

Microsoft und Agilebits haben ihre Apps ebenfalls umgehend mit der neuen SDK-Version aktualisiert. Weitere Informationen zur DroppedIn-Sicherheitslücke im Dropbox SDK auf der Webseite von IBM X-Force.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43254633 / Mobile Security)