Seguridad

Vulnerabilidad en Dropbox para Android

El equipo de Investigación de Seguridad de Aplicaciones X-Force de IBM publicó en el blog corporativo de su empresa el descubrimiento de una vulnerabilidad en el kit de desarrollo de software (SDK) de Dropbox, utilizado por desarrolladores de apps Android para permitir una fácil conexión entre los usuarios y sus archivos desde la app.

Esta vulnerabilidad, llamada DroppedIn, posibilita a los atacantes conectarse con aplicaciones en dispositivos móviles, al direccionar al SDK hacia una cuenta Dropbox que controlan, para poder bajar archivos de las aplicaciones vulnerables de las víctimas a la cuenta Dropbox del atacante.

La app más grande que usa el SDK de Dropbox es Microsoft Office Mobile, que ha sido descargada más de 10 millones de veces. Además, el SDK es utilizado por el administrador de contraseñas AgileBits 1Password (100.000 bajadas) y una gran cantidad de herramientas de productividad y herramientas para editar y compartir fotos.

La vulnerabilidad puede explotarse de dos maneras: utilizando una app maliciosa instalada en el dispositivo del usuario o bien remotamente, utilizando técnicas “drive-by”. Sin embargo, no puede explotarse si la app del Dropbox está instalada en el dispositivo (no es necesario que esté configurada, solo instalada).

Al descubrir la vulnerabilidad, el equipo de IBM divulgó en forma privada el problema a Dropbox. La respuesta de Dropbox a esta amenaza de seguridad fue particularmente notable, ya que acusaron recibo de la notificación en tan sólo seis minutos, confirmaron la vulnerabilidad dentro de las 24 horas y sacaron un parche en tan solo 4 días. Fue uno de los tiempos de respuestas más rápidos que el equipo de IBM Security ha generado en su historia de investigación de vulnerabilidades.

Con una solución de parche disponible, recomendamos especialmente a los desarrolladores actualizar su biblioteca Dropbox SDK. Además, los usuarios finales (dueños de los dispositivos) deben actualizar sus apps que dependen del SDK y se recomienda instalar la app de Dropbox, que hace que sea imposible explotar la vulnerabilidad; esto se debe a que el código SDK vulnerable no se invoca cuando la app local de Dropbox está instalada.

Autor

  • Pamela Stupia

    Editora de ITSitio para toda la región. Comenzó su camino en medios gráficos y digitales hace más de 10 años. Escribió para diario La Nación y revista Be Glam del mismo grupo.

[mdx-adserve-bstreet region="MED"]

Pamela Stupia

Editora de ITSitio para toda la región. Comenzó su camino en medios gráficos y digitales hace más de 10 años. Escribió para diario La Nación y revista Be Glam del mismo grupo.

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba