Equipa de segurança da IBM descobre vulnerabilidade no Dropbox [atualizado]

Cátia Rocha,

A equipa de investigadores de segurança da IBM, a IBM X-Force, descobriu uma vulnerabilidade no pacote Dropbox SDK para Android, que incluiu aplicações como Office Mobile e Yahoo Mail.

50017-dropbox_teaser

Esta vulnerabilidade permitia que os hackers se ligassem a apliçações de dispositivos móveis para controlar as contas de Dropbox dos utilizadores, assim como outras informações armazenadas no smartphone, sem que o utilizador conseguisse notar.

A vulnerabilidade pode afetar qualquer aplicação Android que use as versões do Dropbox SDK e pode também ser explorada em algumas aplicações mesmo após o update de configuração. Nesse caso, a brecha ocorre num ambiente em que só o invasor tem acesso e os dados são enviados para o hacker de cada vez que o dono da conta Dropbox sincroniza o seu dispositivo.

Assim, os hackers guardam a informação e conseguem também convencer os utilizadores a fazer o registo de uma nova conta no Dropbox, que ficará também sob o comando dos hackers e com acesso a informação, sem autorização.

Quando contactada pela Bit, a IBM diz que não tem uma data exata de quando a vulnerabilidade foi descoberta, uma vez que a equipa IBM X-Force Global não divulgou esse tipo de informação.

Quando informado pela equipa da IBM, o Dropbox tomou medidas e, de acordo com informação divulgada, resolveu a vulnerabilidade em quatro dias. A Microsoft e a Agilebits também atualizaram as suas aplicações com SDK mais recente, para que consigam proteger os utilizadores.

Não existe uma estimativa de quantos utilizadores possam ter sido afetados por esta vulnerabilidade, já que, de acordo com a IBM, a brecha foi corrigida rapidamente pelo Dropbox. Ainda assim, a IBM tem dados de prevalência do uso do Dropbox SDK para Android. De acordo com a App Brain, que mostra esta estatística, 0,31 por cento de todas as aplicações usam o Dropbox SDK. Já para as 500 apps ‘top’, a prevalência é maior, de 1,4 por cento.

A partir de agora, os programadores que usam o Android SDK Dropbox terão que atualizar a sua versão para 1.6.2 ou superior o mais depressa possível. Para além disso, os utilizadores do Dropbox também precisam de estar atentos às atualização das aplicações móveis, para que seja possível corrigir eventuais vulnerabilidades.