México, D.F.-
El Equipo de Investigación de Seguridad de Aplicaciones X-Force de IBM descubrió una vulnerabilidad en el SDK de Dropbox para Android que permite a los atacantes conectar aplicaciones en dispositivos móviles con una cuenta de Dropbox controlada por el atacante, sin el conocimiento o la autorización de la víctima.
La vulnerabilidad puede explotarse de dos maneras: utilizando una app maliciosa instalada en el dispositivo del usuario o bien remotamente, utilizando técnicas “drive-by”. Sin embargo, no puede explotarse si la app del Dropbox está instalada en el dispositivo.
Al descubrir la vulnerabilidad, el equipo de IBM divulgó en forma privada el problema a Dropbox. La respuesta de Dropbox a esta amenaza de seguridad fue particularmente notable, ya que acusaron recibo de la notificación en tan sólo seis minutos, confirmaron la vulnerabilidad dentro de las 24 horas y sacaron un parche en tan solo cuatro días.
Con una solución de parche disponible, recomendamos especialmente a los desarrolladores actualizar su biblioteca Dropbox SDK. Además, los usuarios finales (dueños de los dispositivos) deben actualizar sus apps que dependen del SDK y se recomienda instalar la app de Dropbox, que hace que sea imposible explotar la vulnerabilidad; esto se debe a que el código SDK vulnerable no se invoca cuando la app local de Dropbox está instalada.
Discussion about this post