Dropbox заявил, что ему необходимо «лучше работать» над информированием об интеграции с OS X после появления в сети заявлений о том, что его приложение для Mac фишингует пользовательские пароли и даже «взламывает» операционную систему при установке.

Разработчики облачного хранилища были вынуждены ответить на обвинения, появившиеся на Hacker News, о том, что клиентское приложение представляет собой риск безопасности и «нельзя ему доверять», из-за того, как оно получает контроль над системными функциями без запроса разрешения.

Обеспокоенность возникла после того, как было продемонстрировано, что Dropbox отображается во вкладке «Безопасность и конфиденциальность» для специальных возможностей, несмотря на то, что пользователям никогда не предлагается предоставить доступ к этим функциям.

Допустим ради аргумента, что Dropbox никогда не делает ничего плохого на вашем компьютере. Остается факт, что процесс Dropbox обладает этой возможностью. А это означает, что если в самом Dropbox есть ошибка, злоумышленник может получить контроль над вашим компьютером, используя уязвимости в коде Dropbox. Конечно, это чисто теоретически, но все риски безопасности остаются таковыми до тех пор, пока кто-нибудь их не использует. Суть хорошей компьютерной безопасности и, по сути, сама причина, по которой OSX имеет такие защитные механизмы, заключается в том, что приложения не должны иметь разрешений больше, чем те, которые им нужны для выполнения их работы.

Отвечая на обвинения, Dropbox заявил, что запрашивает только необходимые ему разрешения и использует функции специальных возможностей для определенных интеграций с приложениями, такими как Office, хотя разрешения не являются настолько «гранулированными», как хотелось бы компании.

Dropbox, как и другие приложения, требует дополнительных разрешений для активации определенных функций и интеграций. Операционная система на устройстве пользователя может попросить его ввести пароль для подтверждения. Dropbox никогда не видит и не получает эти пароли. Сообщения о том, что Dropbox подделывает интерфейсы или перехватывает системные пароли, абсолютно ложны. Мы понимаем, что можем лучше информировать о том, как используются эти разрешения, и работаем над улучшением этого.

Dropbox заявил, что сотрудничает с Apple над снижением зависимости от повышенных привилегий в macOS Sierra и будет уважать отключение пользователями разрешений Dropbox для специальных возможностей. Тем временем Hacker News хочет, чтобы компания более четко объяснила, почему ей нужны те или иные разрешения.

Последние новости появляются в непростое время для компании, занимающейся облачным хранилищем. Две недели назад стало известно, что более 68 миллионов аккаунтов Dropbox были затронуты взломом, произошедшим в 2012 году.

Из-за взлома паролей, связанного с другими веб-сайтами, хакеры смогли войти в «небольшое количество» аккаунтов Dropbox, сообщила компания, включая аккаунт сотрудника, у которого был доступ к документу со списком адресов электронной почты пользователей. Но когда Dropbox объявил о превентивной мере по сбросу паролей, он не упомянул о масштабах пользователей, затронутых четырехлетним взломом.

Ранее в этом году Dropbox также был вынужден защищать функцию под названием Project Infinite, которая позволяет пользователям получать доступ ко всему содержимому своего аккаунта, как если бы оно хранилось на их собственном компьютере, независимо от размера их жесткого диска. Функция требует доступа на уровне ядра к компьютерам для функционирования, что, как предполагали критики, могло оставить ее открытой для серьезных уязвимостей.

Обновление: Dropbox связался с MacRumors, чтобы подтвердить, что он «категорически отрицает» то, что его клиент для Mac занимается фишингом пользовательских паролей или «взломом» операционной системы при установке, но согласился, что «нам нужно сделать больше, чтобы быть более прозрачными и более четко объяснять, почему нам нужен доступ к Mac OS». Компания также добавила, что информация об учетных записях, украденная в 2012 году, была хеширована и засалена, что означает, что маловероятно, чтобы хакеры смогли получить многие фактические пароли пользователей.