IBM揭露Dropbox SDK for Android的安全漏洞

IBM旗下的X-Force應用程式安全研究團隊（Application Security Research Team）周三（3/11）揭露了Dropbox SDK for Android的一個安全漏洞，該漏洞允許駭客把整合Dropbox服務的行動應用程式連至由駭客掌控的Dropbox帳號，因而可竊取使用者自該程式上傳至Dropbox的資料。

Dropbox SDK for Android是Dropbox提供給Android開發人員的軟體開發套件，以讓Android開發人員能打造支援或整合Dropbox的Android行動程式。為了要讓第三方程式具備Dropbox的存取權限，相關SDK使用OAuth協定，透過產生令牌（token）的授權模式取代直接透露使用者的帳號及密碼給第三方程式。

該安全團隊負責人Roee Hay表示，此一編號為CVE-2014-8889的漏洞允許駭客在Dropbox SDK中注入任何的存取令牌，代表駭客能夠改變基於該SDK的行動程式所連結的Dropbox帳號。

IBM嘗試透過該漏洞攻擊密碼管理程式1Password，1Password使用了Dropbox SDK來與Dropbox同步使用者的金鑰儲存庫，並成功將使用者的金鑰儲存庫傳遞至指定的Dropbox帳號。最新版的1Password已解決此問題。

倘若使用者的行動裝置安裝的是獨立的Dropbox程式，即可避免受到該漏洞的影響。

此一漏洞影響Dropbox SDK for Android 1.5.4~1.6.1，而Dropbox已釋出Dropbox SDK for Android 1.6.2來修補該漏洞。

Hay指出，他們向Dropbox提報該漏洞的6分鐘內便得到了回應，且Dropbox於24小時內即確認漏洞，並在4天內修補完成，為該團隊所見過回應最快的案例之一。

Dropbox早在去年12月便已修補該漏洞，受波及的行動程式也應陸續更新完畢。Dropbox表示，此一漏洞僅允許駭客利用受影響的行動程式存取傳至Dropbox的新資料，而無法存取使用者在Dropbox上既存的資料，且迄今並無傳出任何災情。（編譯/陳曉莉）