Dropbox : scoppia lo scandalo sicurezza su Mac

Al momento dell'installazione su Mac, Dropbox chiede la password di amministratore ma non spiega a cosa servirà; qualcuno ha indagato, ed è scoppiato un gran casino. Facciamo chiarezza.
Dropbox : scoppia lo scandalo sicurezza su Mac
Al momento dell'installazione su Mac, Dropbox chiede la password di amministratore ma non spiega a cosa servirà; qualcuno ha indagato, ed è scoppiato un gran casino. Facciamo chiarezza.
Giacomo Martiradonna
Pubblicato il 13 set 2016

[blogo-video id=”193734″ title=”Dropbox – Sicurezza su Mac” content=”” provider=”brid” video_brid_id=”” video_original_source=”” image_url=”https://s3.eu-west-1.amazonaws.com/video.blogo.it/thumb/aECO6Ltj-640.jpg” thumb_maxres=”0″ url=”233843″ embed=”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”]

Al momento dell’installazione su Mac, Dropbox chiede la password di amministratore ma non spiega a cosa servirà; qualcuno ha indagato, ed è scoppiato un gran casino. Facciamo chiarezza.

[related layout=”big” permalink=”https://www.melablog.it/post/193721/ios-10-disponibile-da-oggi-online-lapp-store-di-messaggi”]Oggi è il gran giorno. Tra poche ore la versione definitiva di iOS 10 sarà disponibile per tutti; intanto, l’App Store dell’app Messaggi è già online.[/related]

[related layout=”right” permalink=”https://www.melablog.it/post/193667/iphone-7-water-resistant-garanzia-danni-da-liquidi”]Tecnicamente, iPhone 7 è water-resistant, ma se viene danneggiato dal contatto coi liquidi, la garanzia non vi copre.[/related]

Cosa Accade

Come nota correttamente Hacker News, Dropbox si appunta la password di amministratore durante l’installazione, e la usa per praticare in modo opaco modifiche al Mac potenzialmente molto dannose.

Senza spiegare cosa accade, né perché lo faccia, Dropbox si auto-assegna l’autorizzazione a controllare il Mac, e potete verificare voi stessi la cosa in Preferenze di Sistema > Sicurezza & Privacy > Accessibilità. Il fatto è che questa mancanza di trasparenza è apparsa sospetta: a cosa serve un controllo tanto profondo della macchina per un servizio cloud? E soprattutto, perché non avvisare gli utenti?

La cosa peggiore, tra l’altro, è che si elimina Dropbox dall’elenco, l’icona ricomparirà da sé al riavvio senza chiedere password né autorizzazioni. E questo è grave per due ragioni: se Dropbox volesse, potrebbe in teoria praticare qualunque modifica al Mac; e anche se non volesse, un Trojan o un malware potrebbe sfruttare questa possibilità a suo vantaggio, senza che l’utente sospetti nulla.

Phishing e Furto Password?

Sulla scia del sospetto, qualcuno si è spinto a parlare addirittura di phishing, e di furto della password degli utenti ignari, ma in realtà c’è solo un problema di comunicazione e un piccolo abuso.

Con un comunicato stampa, la società si è difesa dicendo che “Dropbox, come qualunque altra app, richiede permessi aggiuntivi per abilitare certe feature e integrazioni […]. Dropbox non riceve né vede mai queste password. È falso che Dropbox intercetti o catturi le password di sistema. […] Ci rendiamo conto tuttavia che potremmo fare un lavoro migliore di comunicazione.”

Non vediamo l’ora. Ci interesserebbe sapere, ad esempio, per filo e per segno a cosa serve tutta questa integrazione, e ci piacerebbe anche poterla disabilitare se non ci serve. Inoltre, per quale ragione il pop-up di richiesta della password (immagini qui in alto) non è quello standard di Accessibilità? A occhio, Dropbox ha parecchie cosette da aggiustare per riguadagnarsi la fiducia dei suoi utenti, soprattutto in seguito alla violazione di 68 milioni di account avvenuta nel 2012.

Cosa Dovete Fare?

Assolutamente nulla. A questo punto, conviene attendere un update che spieghi meglio cosa avviene durante l’installazione dell’app, e soprattutto, che permetta di avere controllo su quello che Dropbox fa, e sulle risorse cui accede, quando e perché.

Il Mac non è Windows e sarà bene che gli sviluppatori lo tengano bene a mente. Sulla nostra piattaforma siamo allergici alle app che agiscono nell’ombra, o che chiedono accessi in deroga e/o integrazione col Kernel. A futura memoria.

Ti consigliamo anche

Visual Studio dice addio al Mac, quali saranno le alternative
macOS

Visual Studio dice addio al Mac, quali saranno le alternative
Gaming su macOS: grosse novità per il porting
macOS

Gaming su macOS: grosse novità per il porting
macOS Sonoma: lo sforzo di Apple di portare il gaming su Mac è un problema
macOS

macOS Sonoma: lo sforzo di Apple di portare il gaming su Mac è un problema
iOS 17 e macOS Sonoma consentono agli utenti di modificare video cinematografici con app di terze parti
iOS

iOS 17 e macOS Sonoma consentono agli utenti di modificare video cinematografici con app di terze parti
Link copiato negli appunti