A IBM X-Force, time de pesquisadores em segurança da IBM, descobriu uma vulnerabilidade no Dropbox SDK para Android – pacote integrado por aplicativos Yahoo Mail, Microsoft Office Mobile, AgileBits 1Password e outros –, que permitia aos hackers se conectarem a aplicativos de dispositivos móveis para controlar as contas de Dropbox e informações armazenadas nos smartphones de usuários sem que eles soubessem ou autorizassem.
Esta vulnerabilidade pode afetar qualquer app Android que use as versões do Dropbox SDK e pode ser explorada em alguns aplicativos após um updatede configuração. Nesta situação, a brecha ocorre em um ambiente que somente o invasor tem acesso e os dados são enviados a ele quando o dono da conta sincroniza seu dispositivo. Desta forma, os hackers dominam as informações e conseguem convencê-lo a realizar o cadastramento de uma nova conta no Dropbox, que ficará sob seu comando enquanto rouba as informações e realiza downloads dos arquivos das vítimas.
Solução
O Dropbox fez o possível para corrigir o problema assim que foi informado pela equipe de Segurança da IBM. O problema foi solucionado em apenas quatro dias. A Microsoft e a Agilebits também atualizaram seus aplicativos com o SDK mais recente para proteger seus usuários. A partir de agora, os desenvolvedores de aplicativos que usam o Android SDK Dropbox precisam atualizar sua versão para 1.6.2 ou superior o mais rápido possível. Os usuários do Dropbox também precisam estar atentos às atualizações de aplicativos móveis para corrigir eventuais vulnerabilidades.
Pontos de atenção
Segundo a IBM, as organizações estão se voltando para a nuvem para facilitar o trabalho de seus funcionários e tornar seus arquivos mais acessíveis. Muitos colaboradores costumam usar serviços como Dropbox fora das políticas de TI das empresas. Na era da mobilidade, as empresas precisam estar atentas a todos os lugares possíveis nos quais os seus dados estão sendo armazenados, com objetivo de orientar seus colaboradores.