Dropbox的開發(fā)人員近日修復(fù)了安卓版Dropbox SDK存儲(chǔ)應(yīng)用程序上的一個(gè)遠(yuǎn)程利用漏洞，攻擊者利用該漏洞可未經(jīng)用戶同意直接把應(yīng)用程序和Dropbox賬戶連接。只要用戶安裝的應(yīng)用程序使用了含有漏洞的Dropbox SDK，則其敏感信息就可能被攻擊者竊取。

漏洞描述

該漏洞是IBM的研究員發(fā)現(xiàn)，按他的原話就是：SDK的認(rèn)證機(jī)制上存在一個(gè)嚴(yán)重漏洞。攻擊者可在SDK代碼中任意寫入一個(gè)訪問(wèn)標(biāo)記，繞過(guò)隨機(jī)數(shù)防護(hù)。

IBM X-Force 應(yīng)用程序安全研究小組組長(zhǎng)Roee Hay在其博客中深入分析了這一漏洞。他指出該漏洞是“特定執(zhí)行漏洞(CVE-2014-8889)”，攻擊者可以強(qiáng)制SDK泄露隨機(jī)數(shù)到攻擊者的服務(wù)器上，進(jìn)而使防護(hù)失效。

利用獲得的nonce，攻擊者可把受害者設(shè)備上應(yīng)用程序連接到自己的賬戶上(注意：不是受害者賬戶哦)，然后欺騙他們上傳敏感數(shù)據(jù)或者下載惡意數(shù)據(jù)。

Dropbox是通過(guò)OAuth請(qǐng)求來(lái)認(rèn)證應(yīng)用程序，通常情況下SDK會(huì)釋放出一個(gè)很長(zhǎng)且很復(fù)雜的加密字符或者隨機(jī)數(shù)。只有在SDK產(chǎn)生的隨機(jī)數(shù)和另一應(yīng)用程序通過(guò)API返回的隨機(jī)數(shù)匹配時(shí)，這兩個(gè)應(yīng)用程序才能互相訪問(wèn)。

成功利用此漏洞的條件：

1.獲得訪問(wèn)標(biāo)記;

2.誘騙受害者到一個(gè)惡意網(wǎng)站;

3.泄露受害者的nonce到他們的服務(wù)器;

4.冒充nonce訪問(wèn)Dropbox;

5.在目標(biāo)應(yīng)用程序中注入他們自己的標(biāo)記。

IBM的研究人員提供了該漏洞的相關(guān)POC，其中杜撰了一個(gè)名叫DroppedIn的漏洞。視頻中研究者詳細(xì)介紹了怎樣利用該漏洞把受害者的應(yīng)用程序連接到自己的Dropbox賬戶或者舊版本的1Password上。一旦受害者錯(cuò)誤的訪問(wèn)了受攻擊者控制的網(wǎng)站，1Password上的Dropbox SDK代碼就會(huì)被攻擊者利用，然后攻擊者就可訪問(wèn)受害者的vault。

POC視頻

許多應(yīng)用程序都使用了存在漏洞的SDK，像1Password和Microsoft Office Mobile;當(dāng)然這些應(yīng)用程序的用戶現(xiàn)在也不必驚慌，因?yàn)樽訧BM提交了這一漏洞之后，它們就及時(shí)更新了自己的應(yīng)用程序;但還需提醒用戶的是，要確保你們的使用的是最新版本的應(yīng)用程序才行。

受影響的SDK版本：

1.5.4-1.6.1版本的Dropbox SDK都存在安全漏洞，而1.6.3版本的DropboxSDK不存在該漏洞。