Dropbox SDKに深刻な脆弱性、連携のAndroidアプリから情報流出の恐れ

[鈴木聖子，ITmedia]

　AndroidアプリをDropboxと連携させるための「Dropbox SDK」に深刻な脆弱性が見つかり、Dropboxや同SDKを使ったAndroidアプリメーカー各社が更新版をリリースして対処している。米IBMの研究者が3月11日のブログで明らかにした。

　それによると、脆弱性はDropbox SDKバージョン1.5.4〜1.6.1を使ったAndroidアプリに存在する。認証の仕組みに深刻な問題があり、悪用された場合、ユーザーが知らないうちに、Android端末上のアプリが攻撃者の制御するDropboxアカウントに接続されてしまう恐れがある。

　この脆弱性は、ユーザーの端末にインストールされた悪質なアプリ経由、または不正なWebサイトを閲覧させる手口でリモートから悪用される恐れがある。ただし、Dropbox自体のアプリでは脆弱性のあるSDKコードが呼び出されないことから、Dropboxアプリがインストールされている端末では悪用は不可能だという。

　研究チームは同SDKを使っている「Microsoft Office Mobile」やパスワード管理アプリの「1Password」で検証を行い、ユーザーの情報や保存した文書、パスワードなどが攻撃者のアカウントに流出する恐れがあることを確認したと報告している。いずれも脆弱性を修正した更新版が既にGoogle Playで公開されているという。

IBMの研究者はデモンストレーションも公開

　DropboxではDropbox SDKのバージョン1.6.2でこの脆弱性を修正した。IBMでは開発者にDropbox SDKライブラリの更新を呼び掛け、エンドユーザーには問題のSDKを使っているアプリを更新するよう促している。