Dropbox : scoppia lo scandalo sicurezza su Mac

Al momento dell'installazione su Mac, Dropbox chiede la password di amministratore ma non spiega a cosa servirà; qualcuno ha indagato, ed è scoppiato un gran casino. Facciamo chiarezza.
Al momento dell'installazione su Mac, Dropbox chiede la password di amministratore ma non spiega a cosa servirà; qualcuno ha indagato, ed è scoppiato un gran casino. Facciamo chiarezza.

[blogo-video id=”193734″ title=”Dropbox – Sicurezza su Mac” content=”” provider=”brid” video_brid_id=”” video_original_source=”” image_url=”https://s3.eu-west-1.amazonaws.com/video.blogo.it/thumb/aECO6Ltj-640.jpg” thumb_maxres=”0″ url=”233843″ embed=”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”]

Al momento dell’installazione su Mac, Dropbox chiede la password di amministratore ma non spiega a cosa servirà; qualcuno ha indagato, ed è scoppiato un gran casino. Facciamo chiarezza.

[related layout=”big” permalink=”https://www.melablog.it/post/193721/ios-10-disponibile-da-oggi-online-lapp-store-di-messaggi”]Oggi è il gran giorno. Tra poche ore la versione definitiva di iOS 10 sarà disponibile per tutti; intanto, l’App Store dell’app Messaggi è già online.[/related]

[related layout=”right” permalink=”https://www.melablog.it/post/193667/iphone-7-water-resistant-garanzia-danni-da-liquidi”]Tecnicamente, iPhone 7 è water-resistant, ma se viene danneggiato dal contatto coi liquidi, la garanzia non vi copre.[/related]

Cosa Accade

Come nota correttamente Hacker News, Dropbox si appunta la password di amministratore durante l’installazione, e la usa per praticare in modo opaco modifiche al Mac potenzialmente molto dannose.

Senza spiegare cosa accade, né perché lo faccia, Dropbox si auto-assegna l’autorizzazione a controllare il Mac, e potete verificare voi stessi la cosa in Preferenze di Sistema > Sicurezza & Privacy > Accessibilità. Il fatto è che questa mancanza di trasparenza è apparsa sospetta: a cosa serve un controllo tanto profondo della macchina per un servizio cloud? E soprattutto, perché non avvisare gli utenti?

La cosa peggiore, tra l’altro, è che si elimina Dropbox dall’elenco, l’icona ricomparirà da sé al riavvio senza chiedere password né autorizzazioni. E questo è grave per due ragioni: se Dropbox volesse, potrebbe in teoria praticare qualunque modifica al Mac; e anche se non volesse, un Trojan o un malware potrebbe sfruttare questa possibilità a suo vantaggio, senza che l’utente sospetti nulla.

Phishing e Furto Password?

Sulla scia del sospetto, qualcuno si è spinto a parlare addirittura di phishing, e di furto della password degli utenti ignari, ma in realtà c’è solo un problema di comunicazione e un piccolo abuso.

Con un comunicato stampa, la società si è difesa dicendo che “Dropbox, come qualunque altra app, richiede permessi aggiuntivi per abilitare certe feature e integrazioni […]. Dropbox non riceve né vede mai queste password. È falso che Dropbox intercetti o catturi le password di sistema. […] Ci rendiamo conto tuttavia che potremmo fare un lavoro migliore di comunicazione.”

Non vediamo l’ora. Ci interesserebbe sapere, ad esempio, per filo e per segno a cosa serve tutta questa integrazione, e ci piacerebbe anche poterla disabilitare se non ci serve. Inoltre, per quale ragione il pop-up di richiesta della password (immagini qui in alto) non è quello standard di Accessibilità? A occhio, Dropbox ha parecchie cosette da aggiustare per riguadagnarsi la fiducia dei suoi utenti, soprattutto in seguito alla violazione di 68 milioni di account avvenuta nel 2012.

Cosa Dovete Fare?

Assolutamente nulla. A questo punto, conviene attendere un update che spieghi meglio cosa avviene durante l’installazione dell’app, e soprattutto, che permetta di avere controllo su quello che Dropbox fa, e sulle risorse cui accede, quando e perché.

Il Mac non è Windows e sarà bene che gli sviluppatori lo tengano bene a mente. Sulla nostra piattaforma siamo allergici alle app che agiscono nell’ombra, o che chiedono accessi in deroga e/o integrazione col Kernel. A futura memoria.

Ti consigliamo anche

Link copiato negli appunti