Sicherheitslücke im Dropbox-Client für Android
Eine Lücke im Android-Client für den Online-Speicherdienst Dropbox ermöglicht es anderen Apps, beliebige Dateien in das Konto des Anwenders hochzuladen und so die Kontrolle über das Konto zu übernehmen.
Das Unternehmen MWR InfoSecurity hat auf eine Sicherheitslücke im Android-Client für den Online-Speicherdienst Dropbox [1] hingewiesen [2]. Eine nachlässige Einstellung in dem zu der Applikation gehörenden Manifest ermögliche es beliebigen anderen Apps auf demselben Gerät, Dateien in das Benutzerkonto des Dropbox-Anwenders hochzuladen, ohne dass der dafür um Erlaubnis gefragt wird. Auf diese Weise könne laut MWR auch die Datenbank mit den Dropbox-Benutzereinstellungen überschrieben werden und ein Angreifer die komplette Kontrolle über das Dropbox-Konto des Benutzers erlangen.
Betroffen sind laut dem Advisory alle Clients bis einschließlich Version 1.1.3. Dropbox hat den Fehler in Version 1.1.4 seines Android-Clients behoben; das Update ist über den Market verfügbar. (hos [3])
URL dieses Artikels:
https://www.heise.de/-1322839
Links in diesem Artikel:
[1] https://www.dropbox.com/
[2] http://labs.mwrinfosecurity.com/advisories/dropbox_for_android_authorisation_bypass/
[3] mailto:hos@ct.de
Copyright © 2011 Heise Medien