Problema está no Dropbox SDK, usado por outros apps.
Ataque não funciona se Dropbox estiver instalado.
Pesquisadores da equipe de segurança X-Force, da IBM, divulgaram detalhes de uma brecha no Dropbox SDK para Android que, em alguns apps, pode resultar no roubo de informações. A vulnerabilidade faz com que um hacker possa convencer um app a cadastrar uma conta do Dropbox controlada por ele para realizar a sincronização das informações.
A pesquisa foi realizada por dois especialistas em segurança da IBM, Roee Hay e Or Peles. Os detalhes foram publicados nesta quarta-feira (11) no blog da companhia.
A falha não está no aplicativo do Dropbox em si, mas sim no Dropbox SDK. Esse SDK é um pacote integrado por outros aplicativos para que eles possam ter a opção de sincronizar seus dados com o Dropbox. Quem tem o aplicativo do Dropbox instalado não está vulnerável, porque, nesses casos, é o próprio aplicativo que gerencia a concessão de autorizações para realizar o envio de dados.
A brecha é útil para roubar informações armazenadas no telefone. A conta do Dropbox não fica comprometida.
Um hacker só precisa convencer o usuário a visitar um site para realizar o ataque. A partir da visita, o site força o navegador a acessar uma página que envia um comando ao app para configurá-lo com a conta Dropbox do próprio criminoso. Quando o usuário sincronizar os arquivos, eles serão enviados diretamente à conta do golpista.
Em alguns apps o ataque pode ser capaz até de substituir uma configuração já realizada. Em outros, o ataque só funciona se o app não foi vinculado com uma conta do Dropbox. Nesse caso, a configuração será realizada nos "bastidores" e os dados serão enviados ao invasor quando o usuário tentar efetuar a sincronização.
A vulnerabilidade existe por causa da possibilidade de redirecionar uma das etapas do procedimento que vincula um app a uma conta do Dropbox. Por conta disso, o criminoso pode ter acesso a um código de autorização (chamado de "nonce") que deveria impedir um ataque como esse.
A IBM destacou a agilidade do Dropbox para eliminar a brecha. Segundo a empresa, uma resposta inicial foi dada em apenas seis minutos. A brecha foi confirmada em menos de 24 horas e, em quatro dias, o problema foi corrigido. "Isso sem dúvida demonstra o comprometimento do Dropbox com a segurança dos seus usuários", afirmou o relatório de pesquisa da IBM.
Embora uma atualização já exista, cada aplicativo que usa o Dropbox SDK precisa atualizar o pacote e disponibilizar uma versão atualizada do app. Se um app não for atualizado, a única maneira de impedir a exploração da falha é instalando o aplicativo do Dropbox.
A IBM encontrou meios de explorar a brecha no Microsoft Office Mobile, no gerenciador de senhas 1Password e no DBRoulette, um aplicativo de demonstração do próprio Dropbox. O app mais vulnerável foi o DBRoulette, que permite a um atacante trocar a conta de sincronização caso ela já tenha sido configurada. O ataque só funcionou nos outros apps se uma conta não foi configurada antes do acesso à página maliciosa.
Fonte: G1
Nenhum comentário:
Postar um comentário