14 mar. 2015

IBM descubre vulnerabilidad en Dropbox para Android

Dropbox es actualmente es uno de los servicios de alojamiento en la nube más famosos que existen y como tal, es uno de los que más posee intentos de ataque por partes de hackers. Recientemente, el equipo de investigación de seguridad de aplicaciones X-Force de IBM, encontró una vulnerabilidad en el SDK de Dropbox para Android, que aparentemente permitiría conectar aplicaciones en dispositivos móviles con una cuenta de Dropbox controlada por el atacante, sin el conocimiento o la autorización de la víctima.

La vulnerabilidad identificada como CVE2014-8889 se encontraría en el mecanismo de autenticación dentro de cualquier app Android que utiliza un SDK de Dropbox en las versiones que van de la 1.5.4 a 1.6.1, ya que en la versión 1.6.2 ya se encuentra corregida. El exploit puede realizarse utilizando una app maliciosa instalada en el dispositivo del usuario o bien remotamente. Lo bueno es que si tenemos Dropbox instalado en el aparato, no puede realizarse el exploit.

Según IBM, la respuesta de Dropbox ante esta vulnerabilidad fue notable. Respondieron el aviso en seis minutos, confirmaron la vulnerabilidad dentro de las 24 horas y sacaron un parche de seguridad en solamente 4 días, lo que demuestra el compromiso de Dropbox con la seguridad, al fin y al cabo de no tenerla sabe que puede perder todos sus clientes de la noche a la mañana. Según IBM Security, la acción de Dropbox fue la más rápida en su historia de investigación de vulnerabilidades, así que podemos estar un poco más confiados en depositar nuestra información ahí, al menos por ahora.

Lo que se recomienda en todos los casos, para estar seguros de eliminar la vulnerabilidad por completo, es actualizar la biblioteca Dropbox SDK a los desarrolladores y a los usuarios finales actualizar las apps que dependen del SDK de Dropbox. También se recomienda, aunque parezca una publicidad, instalar Dropbox, ya que solamente con estar en el aparato elimina la posibilidad de que alguien realice el exploit.

Si quieren conocer más sobre la vulnerabilidad, pueden leer este paper, que detalla todo sobre el exploit denominado "DroppedIn".

Autor: Federico Picone

Fuente: dotpod

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!