Lo Último

Fecha publicación: viernes, marzo 13, 2015
Publicada por Martín Flores Contreras

FALLA EN KIT DE DROPBOX EXPONE A USUARIOS DE ANDROID

Investigadores de seguridad de IBM descubrieron un error de programación en el kit de desarrollo de software (SDK) de Dropbox que deja potencialmente bajo ataque a millones de usuarios de Android.

Los investigadores parte del grupo "X-Force Application Security Research" de IBM advirtieron sobre una falla (a la que nombraron DroppedIn) que afecta a muchas aplicaciones que utilizan el SDK de Dropbox.
"Permite a los atacantes conectar aplicaciones en dispositivos móviles a una cuenta de Dropbox que ellos controlan", explicó el vicepresidente de IBM Security, Caleb Barlow. "Esta vulnerabilidad puede afectar cualquier aplicación en Android que utilice las versiones 1.5.4 a 1.6.1 del SDK de Dropbox: puede ser explotada localmente utilizando malware o de manera remota con técnicas drive-by".
Un vocero de Dropbox informó que la empresa emitió una corrección para la falla en diciembre de 2014 y agregó que solo podría ser explotada [la falla] en "circunstancias muy específicas" en dispositivos donde la aplicación principal de Dropbox para Android no estuviese instalada.
Barlow dijo que a pesar de dichas afirmaciones, los cibercriminales aún podrían robar datos de sistemas vulnerables que no tengan la corrección (parche).
"Esta vulnerabilidad permite a los atacantes ejecutar código malicioso durante el inicio de sesión del usuario, lo que les permite tener acceso al 'nonce', un número aleatorio utilizado por Dropbox como parte del proceso de autenticación", comentó Barlow.
"Una vez que el atacante tiene el 'nonce', le es posible ingresar un token de acceso que también es usado para identificar al usuario y después subir o descargar archivos desde la aplicación vulnerable de la víctima hacia la cuenta de Dropbox del atacante".
Agregó que para corregir completamente el problema, los desarrolladores de la aplicación tendrán que instalar el parche para el SDK.
"Hay muchas aplicaciones que dependen del SDK de Dropbox, incluyendo Yahoo Mail, Microsoft Office Mobile, AgileBits 1Password y muchas otras herramientas de productividad y de edición e intercambio de imágenes". [...] "Los desarrolladores de aplicaciones que utilicen el SDK de Dropbox para Android, necesitan actualizar a la versión 1.6.2 o superior tan pronto como sea posible".
El portavoz de Dropbox disipó las inquietudes informando que "muchos de los desarrolladores de aplicaciones para Android que usan nuestro SDK han actualizado sus aplicaciones de tal forma que los usuarios no necesiten realizar acción alguna". Esto después de que algunos reportes indican que los desarrolladores de aplicaciones omiten instalar actualizaciones de seguridad críticas.
Investigadores de McAfee reportaron en febrero que varias aplicaciones "populares" aún no incluyen correcciones críticas de fallas tan difundidas como BERserk y Heartbleed.
Fuente: V3 JS

Editor

Publicada por Martín Flores Contreras en viernes, marzo 13, 2015. Archivada en . Sigue nuestras publicaciones vía RSS RSS 2.0. Apóyanos para mejorar. Deja un comentario.

Por Martín Flores Contreras en viernes, marzo 13, 2015. Archivada en . Sigue nuestras publicaciones vía RSS RSS 2.0. Deja un comentario

0 comentarios for "FALLA EN KIT DE DROPBOX EXPONE A USUARIOS DE ANDROID"

Leave a reply

Más vistos