A IBM X-Force, grupo de pesquisa em aplicativos de segurança da IBM, descobriu uma vulnerabilidade no Dropbox SDK para Android – pacote integrado por aplicativos Yahoo Mail, Microsoft Office Mobile, AgileBits 1Password e outros –, que permitia aos hackers se conectarem a aplicativos de dispositivos móveis para controlar as contas de Dropbox e informações armazenadas nos smartphones de usuários sem que eles soubessem ou autorizassem.
Esta vulnerabilidade pode afetar qualquer app Android que use as versões do Dropbox SDK e pode ser explorada em alguns aplicativos após um update de configuração. Nesta situação, a brecha ocorre em um ambiente que somente o invasor tem acesso e os dados são enviados a ele quando o usuário sincroniza seu dispositivo. Desta forma, eles dominam as informações e conseguem convencer um usuário a realizar o cadastramento de uma conta do Dropbox, que ficará sob seu comando enquanto ele rouba as informações e realiza downloads dos arquivos das vítimas.
A brecha de segurança permitia que os hackers usassem um código mal intencionado durante o processo de login, que lhes permitisse acessar um número aleatório – chamado de nonce – que o Dropbox usa como parte do processo de autenticação e que deveria impedir todo tipo de ataque.
Solução
O Dropbox fez o possível para corrigir o problema assim que foram informados pela equipe de Segurança da IBM. Em menos de 24 horas ele identificaram o problema e o solucionaram em apenas quatro dias. A Microsoft e a Agilebits também atualizaram seus aplicativos com o SDK mais recente para proteger seus usuários. A partir de agora, os desenvolvedores de aplicativos que usam o Android SDK Dropbox precisam atualizar sua versão para 1.6.2 ou superior o mais rápido possível. Os usuários também precisam estar atentos e realizarem as atualizações de aplicativos móveis para corrigir eventuais vulnerabilidades, por isso, devem baixar o aplicativo Dropbox que impede que esta vulnerabilidade seja explorada, mesmo que estes não estejam com uma versão atualizada ainda.
Complicações
As organizações estão se voltando para a nuvem para facilitar o trabalho de seus funcionários e tornar seus arquivos mais acessíveis. Muitos colaboradores costumam usar os serviços de arquivos como Dropbox fora das políticas de TI das empresas para armazenar e compartilhar outros arquivos, muitas vezes pessoais. Por essa mudança corporativa as empresas precisam perceber todos os lugares possíveis nos quais os seus dados poderiam ser guardados – especialmente neste caso, quando temos a conexão entre dispositivos móveis e armazenamento em nuvem.
