Postagem em destaque

Como iniciar a sua carreira de Segurança da Informação?

Planejamento para se tornar um Analista de Segurança da Informação. Monte o Seu. Após um pouco de pesquisa sobre o tema e conversad...

Brecha no Dropbox para Android pode permitir roubo de dados

Problema está no Dropbox SDK, usado por outros apps.
Ataque não funciona se Dropbox estiver instalado.

Pesquisadores da equipe de segurança X-Force, da IBM, divulgaram detalhes de uma brecha no Dropbox SDK para Android que, em alguns apps, pode resultar no roubo de informações. A vulnerabilidade faz com que um hacker possa convencer um app a cadastrar uma conta do Dropbox controlada por ele para realizar a sincronização das informações.

A pesquisa foi realizada por dois especialistas em segurança da IBM, Roee Hay e Or Peles. Os detalhes foram publicados nesta quarta-feira (11) no blog da companhia.

A falha não está no aplicativo do Dropbox em si, mas sim no Dropbox SDK. Esse SDK é um pacote integrado por outros aplicativos para que eles possam ter a opção de sincronizar seus dados com o Dropbox. Quem tem o aplicativo do Dropbox instalado não está vulnerável, porque, nesses casos, é o próprio aplicativo que gerencia a concessão de autorizações para realizar o envio de dados.

A brecha é útil para roubar informações armazenadas no telefone. A conta do Dropbox não fica comprometida.


Um hacker só precisa convencer o usuário a visitar um site para realizar o ataque. A partir da visita, o site força o navegador a acessar uma página que envia um comando ao app para configurá-lo com a conta Dropbox do próprio criminoso. Quando o usuário sincronizar os arquivos, eles serão enviados diretamente à conta do golpista.

Em alguns apps o ataque pode ser capaz até de substituir uma configuração já realizada. Em outros, o ataque só funciona se o app não foi vinculado com uma conta do Dropbox. Nesse caso, a configuração será realizada nos "bastidores" e os dados serão enviados ao invasor quando o usuário tentar efetuar a sincronização.

A vulnerabilidade existe por causa da possibilidade de redirecionar uma das etapas do procedimento que vincula um app a uma conta do Dropbox. Por conta disso, o criminoso pode ter acesso a um código de autorização (chamado de "nonce") que deveria impedir um ataque como esse.

A IBM destacou a agilidade do Dropbox para eliminar a brecha. Segundo a empresa, uma resposta inicial foi dada em apenas seis minutos. A brecha foi confirmada em menos de 24 horas e, em quatro dias, o problema foi corrigido. "Isso sem dúvida demonstra o comprometimento do Dropbox com a segurança dos seus usuários", afirmou o relatório de pesquisa da IBM.

Embora uma atualização já exista, cada aplicativo que usa o Dropbox SDK precisa atualizar o pacote e disponibilizar uma versão atualizada do app. Se um app não for atualizado, a única maneira de impedir a exploração da falha é instalando o aplicativo do Dropbox.

A IBM encontrou meios de explorar a brecha no Microsoft Office Mobile, no gerenciador de senhas 1Password e no DBRoulette, um aplicativo de demonstração do próprio Dropbox. O app mais vulnerável foi o DBRoulette, que permite a um atacante trocar a conta de sincronização caso ela já tenha sido configurada. O ataque só funcionou nos outros apps se uma conta não foi configurada antes do acesso à página maliciosa.

Fonte: G1