Um bug foi encontrado no kit de desenvolvimento de software (SDK) do serviço de hospedagem na nuvem Dropbox. A falha potencialmente coloca milhões de usuários Android expostos a ataques.

Os pesquisadores de segurança da X-Force Application Security Research, da IBM, avisaram que a falha "DroppedIn" afeta muitos aplicativos que usam o Dropbox SDK nas versões entre 1.5.4 e 1.6.1 que permitem a sincronização com o serviço de nuvem. O aplicativo Dropbox em si não está vulnerável.

A pesquisa foi realizada por Roee Hay e Or Peles, que publicaram as informações nesta quarta-feira (11) no blog da empresa.

A vulnerabilidade permite que o hacker envie comandos através de algum site que a vítima deve visitar para ser atacada. Assim, o aplicativo utilizando o SDK com o bug, poderá ser sincronizado com a conta do Dropbox do hacker, que fica apto a roubar as informações do aparelho.

Um porta-voz do Dropbox disse ao site V3 que a empresa fez uma atualização consertando a falha em dezembro de 2014, e acrescentou que ela só pode ser explorada em "circunstâncias muito específicas" nos dispositivos onde o aplicativo oficial do Dropbox para Android não estiver instalado.

O vice presidente da IBM Security, Caleb Barlow disse, no entando, que apesar das garantias do Dropbox, hackers ainda pode roubar dados de sistemas vulneráveis sem o patch.

A vulnerabilidade permite que atacantes possam executar um código malicioso durante o processo de log-in, que lhes permite acessar ao número chamado de "nonce", que o Dropbox usa como parte do processo de autenticação de seus usuários

Barlow explica que uma vez o atacante possuindo o nonce, eles podem obter um token de acesso que também é usado para identificar um usuário e, em seguida, fazer o upload ou download de arquivos através app vulnerável da vítima, transferindo com a conta do Dropbox do atacante.

Ele acrescentou ainda que entre os muitos aplicativos que dependem do Dropbox SDK estão o Yahoo Mail, Microsoft Office Mobile, AgileBits 1Password, e vários outros de produtividade, ferramentas de edição e compartilhamento de fotos, e muitos outros.

Os desenvolvedores de aplicativos que usam o Android SDK Dropbox precisam atualizar sua versão para, pelo menos, 1.6.2 ou superior o mais rápido possível, que é onde se encontra o patch para esta vulnerabilidade.

O porta-voz do Dropbox se adiantou afirmando que a maioria dos desenvolvedores de aplicativos para Android já estão usando o SDK atualizado em seus aplicativos.