Un fallo en el SDK de Dropbox para Android permite robar los datos del servicio

Share this…

Pocas veces hemos hablado de este servicio de almacenamiento por culpa de un fallo de seguridad. Sin embargo, en esta ocasión podría decirse que no resulta un problema directo sobre Dropbox, sino que más bien es un fallo que afecta al SDK utilizado por otras aplicaciones para hacer uso de este, permitiendo que una tercera persona pueda acceder a los archivos y manipularlos sin que el usuario sea consciente.

Sin embargo, después de analizar de forma minuciosa la vulnerabilidad, catalogada como CVE-2014-8889, se ha llegado a la conclusión de que el usuario no tendrá ningún problema siempre que la aplicación del servicio de almacenamiento se encuentre en el terminal, independientemente de que exista o no una cuenta configurada. La versión del SDK que está afectada por la vulnerabilidad es la 1.5.2., mitigándose el efecto de esta a partir de la 1.6.2, ya disponible para ser descargada.

Aunque pueda parecer todo lo contrario, el usuario no debe descargar ni instalar ningún paquete, ya que el SDK se utiliza por los desarrolladores de aplicaciones para comunicar esta con la cuenta del servicio de almacenamiento y así utilizar algunas funciones.

Un fallo en el SDK de Dropbox para Android
Un fallo en el SDK de Dropbox para Android

Los encargados de descubrir y reportar la vulnerabilidad han grabado un vídeo donde se demuestra cómo explotar el fallo.

Dropbox recomienda la actualización del SDK

Desde que en enero se publicó la primera versión que resolvía el problema, los responsables del servicio de almacenamiento han tenido tiempo de sacar otra versión adiconal que integra mucho mejor la solución que la 1.6.2 y e insta a los desarrolladores a actualizar el SDK para evitar que las aplicaciones sean vulnerables y pongan en peligro los archivos de los usuarios. Los investigadores realizaron un análisis de 41 aplicaciones que hacían uso de este y se han encontrado con que al menos 31 están afectadas por el problema que nos ocupa.

Fuente:https://www.redeszone.net/