Si usás Dropbox para Android, es una buena idea que actualices la aplicación. Esto se debe a que investigadores de IBM descubrieron una vulnerabilidad en la app que permite a ciberatacantes bajar archivos sin control.
El equipo de Investigación de Seguridad de Aplicaciones X-Force de IBM anunció el descubrimiento de una grave vulnerabilidad en el Kit de Desarrollo de Software (SDK) de Dropbox, utilizado por desarrolladores de apps Android para permitir una fácil conexión entre los usuarios y sus archivos desde la aplicación. Esta vulnerabilidad, llamada DroppedIn, posibilita a los atacantes conectarse con aplicaciones en dispositivos móviles, al direccionar al SDK hacia una cuenta Dropbox que controlan, para poder bajar archivos de las aplicaciones vulnerables de las víctimas a la cuenta Dropbox del atacante.
Esta es una grave falla en el mecanismo de autenticación dentro de cualquier app Android que utiliza un SDK de Dropbox versión 1.5.4 a 1.6.1. La vulnerabilidad fue resuelta en el SDK de Dropbox para Android v1.6.2.
Al descubrirla, el equipo de IBM divulgó en forma privada el problema a Dropbox. Según confirmaron los especialistas de la “big blue”, la respuesta de Dropbox a esta amenaza de seguridad fue particularmente notable, ya que acusaron recibo de la notificación en tan sólo seis minutos, confirmaron la vulnerabilidad dentro de las 24 horas y sacaron un parche en apenas cuatro días. Fue uno de los tiempos de respuesta más rápidos que el equipo de IBM Security ha visto en su larga historia de investigación de vulnerabilidades.
La app más grande que usa el SDK de Dropbox es Microsoft Office Mobile, que ha sido descargada más de 10 millones de veces. Además, el SDK es utilizado por el administrador de contraseñas AgileBits 1Password (100.000 bajadas) y una gran cantidad de herramientas de productividad y herramientas para editar / compartir fotos.
Desde el laboratorio de IBM confirman que Dropbox ya actualizó su SDK para Android y los proveedores, incluso Microsoft y Agilebits, actualizaron sus apps con el nuevo SDK. Dropbox e IBM Security alientan a los desarrolladores a actualizar todas sus aplicaciones utilizando el SDK. Además, los usuarios finales (dueños de los dispositivos) deben actualizar sus apps que dependen del SDK y se recomienda instalar la aplicación de Dropbox, que hace que sea imposible explotar la vulnerabilidad; esto se debe a que el código SDK vulnerable no se invoca cuando la app local de Dropbox está instalada.