Últimas noticias
- Usuarios de Skype afectados por ransomware en anuncios maliciosos 01-Abr-2017
- Java y Flash encabezan la lista programas más obsoletos 31-Mar-2017
- Apple soluciona error en Safari usado en ataques de ransomware 28-Mar-2017
- Utilizan botnet GiftGhostBot para robar saldos de tarjetas de regalo 28-Mar-2017
- Expertos señalan que hay archivos sensibles expuestos en Docs.com 28-Mar-2017
- Spammers modifican archivos RTF para ocultar malware 27-Mar-2017
- Estafas de bitcoins infestan las redes sociales 25-Mar-2017
Falla en kit de desarrollo de Dropbox expone a usuarios de Android
Investigadores de seguridad de IBM descubrieron un error de programación en el kit de desarrollo de software (SDK) de Dropbox que deja potencialmente bajo ataque a millones de usuarios de Android.
Los investigadores parte del grupo "X-Force Application Security Research" de IBM advirtieron sobre una falla (a la que nombraron DroppedIn) que afecta a muchas aplicaciones que utilizan el SDK de Dropbox.
"Permite a los atacantes conectar aplicaciones en dispositivos móviles a una cuenta de Dropbox que ellos controlan", explicó el vicepresidente de IBM Security, Caleb Barlow. "Esta vulnerabilidad puede afectar cualquier aplicación en Android que utilice las versiones 1.5.4 a 1.6.1 del SDK de Dropbox: puede ser explotada localmente utilizando malware o de manera remota con técnicas drive-by".
Un vocero de Dropbox informó que la empresa emitió una corrección para la falla en diciembre de 2014 y agregó que solo podría ser explotada [la falla] en "circunstancias muy específicas" en dispositivos donde la aplicación principal de Dropbox para Android no estuviese instalada.
Barlow dijo que a pesar de dichas afirmaciones, los cibercriminales aún podrían robar datos de sistemas vulnerables que no tengan la corrección (parche).
"Esta vulnerabilidad permite a los atacantes ejecutar código malicioso durante el inicio de sesión del usuario, lo que les permite tener acceso al 'nonce', un número aleatorio utilizado por Dropbox como parte del proceso de autenticación", comentó Barlow.
"Una vez que el atacante tiene el 'nonce', le es posible ingresar un token de acceso que también es usado para identificar al usuario y después subir o descargar archivos desde la aplicación vulnerable de la víctima hacia la cuenta de Dropbox del atacante".
Agregó que para corregir completamente el problema, los desarrolladores de la aplicación tendrán que instalar el parche para el SDK.
"Hay muchas aplicaciones que dependen del SDK de Dropbox, incluyendo Yahoo Mail, Microsoft Office Mobile, AgileBits 1Password y muchas otras herramientas de productividad y de edición e intercambio de imágenes". [...] "Los desarrolladores de aplicaciones que utilicen el SDK de Dropbox para Android, necesitan actualizar a la versión 1.6.2 o superior tan pronto como sea posible".
El portavoz de Dropbox disipó las inquietudes informando que "muchos de los desarrolladores de aplicaciones para Android que usan nuestro SDK han actualizado sus aplicaciones de tal forma que los usuarios no necesiten realizar acción alguna". Esto después de que algunos reportes indican que los desarrolladores de aplicaciones omiten instalar actualizaciones de seguridad críticas.
Investigadores de McAfee reportaron en febrero que varias aplicaciones "populares" aún no incluyen correcciones críticas de fallas tan difundidas como BERserk y Heartbleed.
