Equipe de segurança da IBM descobriu uma falha inquietante que pode deixar as contas Dropbox de usuários móveis abertos para bisbilhotar por atacantes.
Os pesquisadores avistou alguma codificação desleixada no SDK versão do Dropbox 1.5.4 para Android. Aplicações que apontam para contas Dropbox usando o SDK pode ser vulnerável, devido a uma falha que pode permitir que um invasor para contornar o mecanismo de autenticação normal e ter acesso total.
Dropbox usa o protocolo OAuth para conectar aplicativos para suas contas. Isso envolve a criação de um número grande, aleatório chamado de nonce criptográfico que é usado para autorizar um aplicativo para obter dados de uma conta.
Aplicativos vulneráveis permitir que um invasor roubar este nonce e usá-lo para entrar na conta Dropbox correspondente. Nesse ponto, o atacante pode capturar todos os dados novos do proprietário economiza na conta.
DroppedIn - Vulnerabilidade pode ser explorada remotamente no SDK do Dropbox para Android
Dos 41 aplicativos que podem apontam para Dropbox que a Big Blue testados, 76 por cento eram vulneráveis ao ataque desenvolvido pela IBM, conhecido como DroppedIn. Estes incluíram Microsoft Office Mobile, que conta atualmente com mais de dez milhões de downloads, e o gerenciador de senhas populares 1Password.
Existem limitações para o ataque. Ele só funciona se o usuário Android é acessar uma conta Dropbox usando um app vulnerável - e porque os projetos de aplicativos variar, nem todo app construído com a versão SDK afetada é vulnerável. O usuário deve também ter visitado um site malicioso ou instalado um app malicioso ter caído na armadilha da façanha. E se o app oficial Dropbox está instalado em um dispositivo, o exploit não funciona de todo.
Além do mais, o exploit não dá ao atacante o acesso a todos os arquivos salvos no Dropbox antes de o dispositivo Android foi comprometida. Apenas os dados salvos após o ataque foi bem sucedido pode ser bisbilhotado.
Enquanto estas questões fazem o Dropbox explorar inadequados para slurping de dados em massa, a falha seria muito útil para um ataque direcionado contra um alvo de alto valor quando combinada com um pouco de engenharia social, sagaz e um pouco de poder de computação.
"A resposta do Dropbox para essa ameaça de segurança foi particularmente notável", disse a IBM. "Nós relatou o problema para Dropbox, que acusou a recepção depois de apenas seis minutos. Menos de 24 horas após a divulgação, Dropbox respondeu com uma confirmação da vulnerabilidade, e um patch foi emitido apenas quatro dias após a divulgação em privado."
A versão atual do Dropbox SDK, versão 1.6.3 não é mais vulnerável. Dropbox também contatou seus desenvolvedores muitos dos aplicativos que usam também foram corrigidos.
Mas há ainda pode ser um conjunto de usuários lá fora, que são preguiçosos sobre como atualizar seus aplicativos e que poderia estar em risco - especialmente agora que a vulnerabilidade tenha sido tornada pública.
"Não há relatos ou provas para indicar a vulnerabilidade já foi usada para acessar os dados do usuário", disse Dropbox engenheiro de segurança Devdatta Akhawe em um post de blog.
"Queremos agradecer a Roee Hay e Peles Ou na IBM para descobrir e divulgar de forma responsável esta vulnerabilidade. Nós levamos a segurança do usuário e privacidade muito a sério, e nós continuamos a trabalhar em estreita colaboração com pesquisadores de segurança para manter os nossos usuários seguros." ®
via Alimentação (Feed)
Nenhum comentário:
Postar um comentário