Dropbox reagerer på Mac 'Security Risk' beskyldninger

Dropbox har sagt, at det skal gøre et "bedre job" for at kommunikere sin OS X-integration, efter at der opstod krav på online, at dets Mac-app var phishing for brugeradgangskoder og endda "hacks" operativsystemet ved installation.

Udviklere af cloud storage service blev tvunget til at svare på beskyldninger, som dukkede op Hacker News at klientprogrammet var en sikkerhedsrisiko og "kunne ikke stole på" på grund af den måde, hvorpå det tager kontrol over systemfunktioner uden at anmode om tilladelse til at gøre det.

dropbox-privacyDropbox får adgang til tilgængelighed uden at anmode om adgang.

Bekymringer blev rejst efter det var demonstreret at Dropbox vises i fanen Sikkerhed og privatliv for tilgængelighed, på trods af at brugerne aldrig bliver bedt om at give adgang til funktionerne.

Lad os antage for argumentets skyld, at Dropbox aldrig gør ondt på din computer. Det er stadig, at Dropbox-processen har den evne. Og det betyder, at hvis Dropbox selv har en fejl i det, er det muligt, at en angriber kan tage kontrol over din computer ved at kapre fejl i Dropbox kode. Det er selvfølgelig helt teoretisk, men alle sikkerhedsrisici er indtil nogen udnytter dem. Kernen i god computersikkerhed og selve grunden til, at OSX har sådanne sikkerhedsforanstaltninger til at begynde med, er, at apps ikke skal have tilladelser større end dem, de har brug for til at gøre deres arbejde.

At svare på beskyldningerne, Dropbox sagde, at det kun spørger om de tilladelser, det har brug for, og bruger tilgængelighedsfunktionerne til visse appintegrationer som Office, selv om tilladelserne ikke er så "granulære" som firmaet gerne vil.

Dropbox, som andre apps, kræver yderligere tilladelser for at aktivere visse funktioner og integrationer. Operativsystemet på en brugers enhed kan bede dem om at indtaste deres adgangskode for at bekræfte. Dropbox ser aldrig eller modtager disse adgangskoder. Rapporter af Dropbox-spoofing-grænseflader eller optagelse af systemadgangskoder er helt falske. Vi er klar over, at vi kan gøre et bedre job med at kommunikere, hvordan disse tilladelser anvendes, og vi arbejder på at forbedre dette.

Dropbox sagde, at det var sammen med Apple at reducere afhængigheden af ​​forhøjet adgang i MacOS Sierra, og vil respektere, når folk deaktiverer Dropboxs adgangstilladelser. I mellemtiden, Hacker News ønsker firmaet mere eksplicit at skitsere, hvorfor det har brug for de tilladelser, det gør.

De seneste nyheder kommer på en følsom tid for cloud storage outfit. For to uger siden var det afslørede at over 68 million Dropbox-konti blev målrettet korrekt under en hack, der fandt sted i 2012.

På grund af en adgangskode hack forbundet til andre hjemmesider kunne hackere logge ind på "et lille antal" af Dropbox-konti, sagde virksomheden, herunder en medarbejder, der havde adgang til et dokument med en række bruger-e-mailadresser. Men da Dropbox annoncerede et forebyggende nulstilling af adgangskode, det nævnt ikke omfanget af brugerne berørt af det fireårige hack.

Tidligere i år blev Dropbox også tvunget til at forsvare en funktion, der hedder Projekt Uendeligt, som gør det muligt for brugerne at få adgang til alt indhold i deres konto, som om det er gemt på deres egen maskine, uanset hvor lille deres harddisk er. Funktionen kræver kerneliveau adgang til computere for at kunne fungere, hvilket kritikere foreslog kunne give det åbent for alvorlige sårbarheder.

Kilde

Giv en kommentar

Dette websted bruger Akismet til at reducere spam. Lær, hvordan dine kommentardata behandles.