AppleSecurityの同僚が今日私たちにもたらすニュースに気をつけてください。 どうやら、ユーザーのグループは、Dropbox for Macアプリケーションに管理者の資格情報を提供すれば、 アプリの重大なセキュリティ問題。
彼らが私たちに知らせるように、 Dropboxは私たちのコンピューターの管理者アクセスを要求します、そしてそのアクセスがあれば、Macのどこにでもアクセスできます。
見出しは、控えめに言っても、気がかりです。 報道機関に漏らされたことが真実であるならば、私たちが取り除くならばそれは役に立たないでしょう Dropbox([設定]-[セキュリティとプライバシー]-[プライバシー]-[アクセシビリティ]、デバイスを制御できるアプリケーションが配置されている場所です)。これにより、これらのアクセス許可を問題なく削除できるためです。 しかし、面白いことに、Dropboxを再起動すると、以前に拒否したのと同じ権限で再度実行されます。
同社は、Mac用のクライアントの周りに現れた深刻な非難を否定しました。実際、開発者間の論争は急上昇しています。 一部の人はそれを保証しますが DropboxはMac管理者のパスワードを入手するために多大な努力を払ってきました他の人は、それらのパスワードは決して保存されず、Appleはサードパーティアプリケーションのパーミッションの使用をよりよく伝える必要があると主張しています。
彼らは、DropboxがTCCデータベースを介してSQLベースの手法を使用して、Appleの承認ポリシーを回避していることを繰り返し述べています。 セキュリティ上の欠陥が発見されました /Library/ApplicationSupport/com.apple.TCC /TCC.db、 以下に示すように:
Dropboxがクパチーノを拠点とする企業のセキュリティポリシーをバイパスするために使用するこの手法は、 さまざまな種類のマルウェアでも使用される可能性があります。 ただし、Apple開発者はこのようなバグを修正するために一生懸命働くことを理解しています。