Dropbox a spus că trebuie să facă o „lucrare mai bună” în comunicarea integrării OS X, după ce au apărut online afirmații că aplicația sa pentru Mac a fost phishing pentru parole de utilizator și chiar „piraterie” sistemul de operare la instalare.
Dezvoltatorii serviciului de stocare în cloud au fost forțați să răspundă acuzațiilor apărute pe Știri despre hackeri că aplicația client era un risc de securitate și „nu putea fi de încredere”, din cauza modului în care preia controlul asupra funcțiilor sistemului fără a cere permisiunea pentru a face acest lucru.
Dropbox obține acces la funcțiile de accesibilitate fără a solicita acces.
Îngrijorări au fost ridicate după ce a fost demonstrat că Dropbox apare în fila Securitate și confidențialitate pentru Accesibilitate, în ciuda faptului că utilizatorilor nu li se solicită niciodată să acorde acces la funcții.
Să presupunem, de dragul argumentului, că Dropbox nu face niciodată rău pe computerul tău. Rămâne faptul că procesul Dropbox are această capacitate. Și asta înseamnă că, dacă Dropbox însuși are o eroare, este posibil ca un atacator să preia controlul asupra computerului tău prin deturnarea defectelor din codul Dropbox. Desigur, este în întregime teoretic, dar toate riscurile de securitate sunt până când cineva le exploatează. Esența unei bune securități a computerului și chiar motivul pentru care OSX are astfel de măsuri de protecție la început este că aplicațiile nu ar trebui să aibă permisiuni mai mari decât cele de care au nevoie pentru a-și face treaba.
Răspunzând la acuzații , Dropbox a spus că solicită doar permisiunile de care are nevoie și că folosește funcțiile de accesibilitate pentru anumite integrări de aplicații precum Office, deși permisiunile nu sunt atât de „granulare” pe cât și-ar dori compania.
Dropbox, ca și alte aplicații, necesită permisiuni suplimentare pentru a activa anumite funcții și integrări. Sistemul de operare de pe dispozitivul unui utilizator le poate cere acestuia să introducă parola pentru confirmare. Dropbox nu vede și nu primește niciodată aceste parole. Rapoartele despre falsificarea interfețelor Dropbox sau capturarea parolelor sistemului sunt absolut false. Ne dăm seama că putem face o treabă mai bună comunicând modul în care sunt utilizate aceste permisiuni și lucrăm la îmbunătățirea acestui lucru.
Dropbox a spus că lucrează cu Apple pentru a-și reduce dependența de accesul ridicat în macOS Sierra și că va respecta atunci când oamenii dezactivează permisiunile de accesibilitate ale Dropbox. Între timp, Știri despre hackeri dorește ca firma să sublinieze mai explicit de ce are nevoie de permisiunile pe care le are.
Cele mai recente știri vin într-un moment sensibil pentru ținuta de stocare în cloud. În urmă cu două săptămâni, a fost dezvăluit că peste 68 de milioane de conturi Dropbox au fost implicate într-un hack care a avut loc în 2012.
Datorită unei spargeri de parole conectate la alte site-uri web, hackerii au putut să se conecteze la „un număr mic” de conturi Dropbox, a spus compania, inclusiv a unui angajat care a avut acces la un document care listează o serie de adrese de e-mail ale utilizatorilor. Dar atunci când Dropbox a anunțat o măsură preventivă de resetare a parolei, nu a menționat amploarea utilizatorilor atinși de hack-ul vechi de patru ani.
La începutul acestui an, Dropbox a fost, de asemenea, forțat să apere o funcție numită Project Infinite, care permite utilizatorilor să acceseze tot conținutul din contul lor ca și cum ar fi stocat pe propriul computer, indiferent de cât de mic este hard diskul lor. Caracteristica necesită acces la nivel de kernel la computere pentru a funcționa, ceea ce au sugerat criticii l-ar putea lăsa deschis unor vulnerabilități grave.
Actualizați: Dropbox a contactat Etern să reitereze că „neagă categoric” phishing-urile clientului său Mac pentru parolele utilizatorului sau „piraterie” sistemul de operare la instalare, dar a fost de acord că „trebuie să facem mai mult pentru a fi mai transparenți și a clarifica de ce avem nevoie de permisiunea de acces la un Mac OS'. Compania a adăugat, de asemenea, că informațiile contului furate în 2012 au fost hashing și sărate, ceea ce înseamnă că este puțin probabil ca hackerii să fi putut obține multe dintre parolele reale ale utilizatorilor.
Posturi Populare