안드로이드 개발자를 위해 제공되는 드롭박스 소프트웨어개발키트(SDK)에서 심각한 보안취약점이 발견돼 이와 관련한 보안 업데이트가 이뤄졌다.
IBM X-포스 애플리케이션 보안 연구팀이 처음 밝혀낸 새로 발견된 취약점은 일명 '드롭드인(DroppedIn)'이라고 불린다. 이 취약점을 악용할 경우 공격자는 드롭박스 계정을 통해 사용자의 모바일 기기 내 다른 애플리케이션(앱)에 접속할 수 있게 된다.
취약점은 사이버 공격자들이 민감한 정보를 훔치거나 드롭박스와 연결된 다른 앱을 통해 해당 기기에 악성코드를 주입할 수 있는 것이라 위험도가 높았다.
미국 지디넷에 따르면 가장 많은 드롭박스 SDK 사용자를 확보하고 있는 것은 마이크로소프트 오피스 모바일 앱이다. 이 앱 사용자들은 드롭박스에 350억개 이상 파일을 올려놓은 것으로 확인되고 있다.
관련기사
- MS, 드롭박스 사용자에 원드라이브 100GB 쏜다2015.03.12
- 드롭박스 파일, 지메일서 공유 "간편하네"2015.03.12
- 드롭박스, 모바일 오피스 SW 업체 인수2015.03.12
- 파수닷컴, 드롭박스 파일보안 서비스 출시2015.03.12
IBM은 공격자들이 드롭박스 SDK 내에 접속용 토큰을 주입하는 방법으로 이후에도 다른 앱들에 접속을 허용한다.
IBM과 드롭박스는 개발자들에게 드롭박스 SDK 1.6.3 이상 버전을 사용하거나 싱크/데이터스토어(Sync/Datastore) 안드로이드 SDK 3.1.2 버전을 사용할 것을 요청했다.
