Dropbox は、Mac クライアントがパスワードを盗んでいるという非難を否定した。
開発者のフィル・ストークス氏は、クラウドロッカー会社が許可プロンプトの数を減らすためにマシンの管理者パスワードを吸い上げていると非難した。
ストークス氏は分析の中で、Dropbox の Mac クライアントがシステム環境設定のアクセシビリティ リストを悪用して、ユーザーのパスワードを盗み出していたと述べています。
「簡単に言うと、このハックが示唆しているのは、/Library/Application Support/com.apple.TCC/TCC.db にある SQL データベースにエントリを挿入して、tcc を直接変更するということだ」と Stokes 氏は言う。
彼は、標準の PrivilegedHelperTools ディレクトリではなく、Dropbox フォルダにインストールされている 3 つのバイナリを発見し、dbaccesspermバイナリ ファイルの文字列出力が「ゴールド」であり、Dropbox が tcc データベースに対して SQL 攻撃を使用して Apple の認証ポリシーを回避していることの「証拠」であると述べました。
画像: Phil Stokes。
Dropbox のデスクトップ開発者であるベン・ニューハウス氏は、一部の開発者がこれは陰謀というよりは悪質な行為だと示唆した主張を否定し、同社が権限の使用についてより明確に伝える必要があると認め、管理者パスワードは決して保存しないと付け加えた。
「Dropbox の OS 統合について、もっと効果的に伝える必要があるのは明らかだ」とニューハウス氏は言う。
「一度だけ許可を求めていますが、何をしているのか、なぜそうしているのかを説明していません。これを修正します。」
「私たちは実際に使用する権限のみを要求していますが、残念ながら、一部の権限は私たちが望むほど細かく設定されていません。」
Newhouse 氏は、アクセシビリティ API は Dropbox Office と Windows の統合に使用され、ファイルシステム API が制限されすぎる場合には昇格されたアクセスが使用されると述べています。
「我々はアップルと協力してこの依存をなくすべく取り組んでおり、すぐに必要なものが手に入るはずだ」と同氏は語る。
「私たちは皆、この件に喜んで取り組んでいます。今後はより良い対応を心がけます。ご迷惑、ご不満、ご混乱をおかけしましたことをお詫び申し上げます。」®
