Google Docs vs Dropbox Paper
Android-apps der bruger Dropbox til opbevaring og er bygget ved hjælp af en ældre version af dens SDK, er sårbare over for et angreb, der kan stjæle data, selvom Dropbox har frigivet en rettelse, ifølge IBMs sikkerhedsforskere.
IBMs applikationssikkerhedsforskningshold sagde onsdag de havde fundet en måde at forbinde deres egen Dropbox-konto til en Android-app på en andens telefon, der forbinder opbevaringstjenesten. Efter et vellykket angreb leveres alle data, der uploades af appen, til angriberens Dropbox-konto.
Dropbox udgiver et SDK (softwareudviklingssæt) for at forbinde sin tjeneste til en app. Fejlen, med navnet "DroppedIn", ramte Dropbox SDK versioner 1.5.4 til 1.6.1 og blev rettet i version 1.62, sagde IBM i et blogindlæg.
[Yderligere læsning: Sådan fjernes malware fra din Windows-pc]Angrebet, mens det er seriøst, er ikke let at udføre. Det virker heller ikke, hvis en person har Dropbox egen mobilapp installeret på deres telefon, og det giver ikke en hacker adgang til det fulde indhold af en Dropbox-konto.
Dropbox sagde, at problemet ikke ser ud til at have blevet udnyttet af hackere til at få adgang til data, og at de fleste af de populære apps, der anvender dets SDK, er blevet patched.
En angriber skal først få adgangstoken til en Dropbox-aktiveret app, som kan gøres ved at hente appen og godkende det til deres egen Dropbox-konto.
Attacken skal lokke lokomotiver til et websted eller en webside med ondsindet kode. Koden tager fat på offerets telefon et stort kryptografisk nummer, kendt som en "nonce", der bruges som en del af godkendelsesprocessen for at forbinde en konto. Med adgangskoden og nonce kan angriberen linke deres egen Dropbox-konto til offerets Android-app.
En måde, brugerne kan fortælle om de er blevet angrebet, er ved at logge ind i Dropbox ved hjælp af en pc og kontrollere, om der er filer det skulle have været gemt af en mobil app ved hjælp af Dropbox, der ikke er der, skrev IBM. Det sagde, at der ikke er mange Android-apps, der bruger Dropbox SDK, men et par populære gør det, herunder Microsofts Office Mobile og AgileBits '1Password.
Da nogle berørte Android apps muligvis ikke opdateres hurtigt, den bedste måde at forsvare mod angrebet er at downloade den mobile version af Dropbox, som "gør udnyttelsen umulig," skrev IBM.
Ross Piper, Dropboxs vicepræsident, vil spille en central rolle i hans virksomheds bestræbelser på at retfærdiggøre sin Den seneste $ 10 milliarder værdiansættelse, selvom den fortsat konkurrerer i forbrugernes rum.
Ross Piper har fået sit arbejde skåret ud for ham.
Ford vil begynde at teste en helt autonom version af sin Fusion Hybrid på Californiens gader i 2016, bliver den seneste store bilproducent til at sætte føreren uden bilteknologi på prøve på rigtige veje. Ford vil begynde at teste en helt autonom version af sin Fusion Hybrid på Californiens gader i 2016, og bliver den seneste store bilproducent for at sætte føreren uden bilteknologi til test på rigtige veje.
Prøvningerne forventes at finde sted i nærheden af sin forskning og udvikling center i Palo Alto. Centret åbnede i januar i år og samler mere end 100 forskere, ingeniører og forskere og er et af flere F & U-centre, der drives af store bilproducenter i Silicon Valley.