Dropbox reaguje na obvinění z Mac Security Risk

Dropbox uvedl, že musí udělat "lepší práci" o komunikaci s integrací OS X, poté, co se na internetu objevily tvrzení, že jeho aplikace Mac je phishing pro uživatelská hesla a dokonce "hacks" operační systém při instalaci.

Vývojáři služby cloud storage byli nuceni odpovědět na obvinění, která se objevila Hacker News že aplikace klienta představuje bezpečnostní riziko a "nemohl být důvěryhodný", protože způsob, jakým přebírá kontrolu nad systémovými funkcemi, aniž by o to požádal o povolení.

dropbox-soukromíDropbox získá přístup k funkcím usnadnění bez požadavku na přístup.

Obavy byly vzneseny poté, co to bylo prokázána Dropbox se zobrazí na kartě Zabezpečení a ochrana osobních údajů pro usnadnění, a to navzdory skutečnosti, že uživatelům se nikdy nezobrazí výzva k udělení přístupu k funkcím.

Předpokládejme, že Dropbox na vašem počítači nikdy neudělal žádné zlo. Stále zůstává skutečnost, že proces Dropbox má tuto schopnost. A to znamená, že pokud Dropbox má v sobě chybu, je možné, že by útočník mohl převzít kontrolu nad svým počítačem tím, že unesl chyby v kódu Dropboxy. Samozřejmě, to je úplně teoretické, ale všechna bezpečnostní rizika jsou, dokud je někdo nevyužije. Podstatou dobré bezpečnosti počítačů a opravdovým důvodem, proč má OSX tyto bezpečnostní zásady, je, že aplikace by neměly mít větší oprávnění než ty, které potřebují k výkonu své práce.

Reagovat na obvinění, Společnost Dropbox uvedla, že požaduje pouze oprávnění, která potřebuje, a využívá funkce usnadnění pro určité integrace aplikací, jako je Office, ačkoli oprávnění nejsou tak "granulární", jakou by společnost chtěla.

Dropbox, stejně jako ostatní aplikace, vyžaduje další oprávnění k povolení určitých funkcí a integrací. Operační systém na zařízení uživatele může požádat o zadání hesla k potvrzení. Dropbox nikdy nevidí nebo neobdrží tato hesla. Zprávy rozhraní spoofing Dropbox nebo zachycení systémových hesel jsou absolutně nepravdivé. Uvědomujeme si, že můžeme udělat lepší práci s tím, jak se tato oprávnění používá, a pracujeme na tom, abychom to zlepšili.

Společnost Dropbox uvedla, že spolupracuje s firmou Apple, aby snížila svou závislost na zvýšeném přístupu MacOS Sierra, a bude respektovat, když lidé zakážou přístupová práva Dropbox. Mezitím, Hacker News chce, aby firma výslovněji načrtla, proč potřebuje oprávnění, která udělá.

Nejnovější zprávy přicházejí v citlivém čase pro vybavení cloud storage. Před dvěma týdny to bylo odhalil že přes 68 miliony účtů Dropbox bylo úspěšně cíleno během hackerů, které se konaly v 2012u.

Kvůli hackerům připojeným k jiným webům se hackerům podařilo přihlásit se k "malému počtu" účtů Dropbox, uvedla společnost, včetně zaměstnance, který měl přístup k dokumentu obsahujícímu řadu e-mailových adres uživatelů. Ale když Dropbox oznámil preventivní opatření pro obnovení hesla, nezmínil se o rozsahu uživatelů, kterých se dotýkal čtyřletý hack.

Začátkem tohoto roku byla společnost Dropbox také nucena bránit funkci nazvanou Projekt Infinite, což umožňuje uživatelům přístup k veškerému obsahu v jejich účtu, jako by byl uložen na jejich vlastním počítači, bez ohledu na to, jak malý je jejich pevný disk. Tato funkce vyžaduje přístup k počítači na úrovni jádra, aby fungoval, což navrhli kritici mohlo by to ponechat otevřené vážným zranitelnostem.

Zdroj

Napsat komentář