Una grave falla fue descubierta por el equipo de IBM Security en el kit de desarrollo de software (SDK) de Dropbox para Android -versiones 1.5.4 a 1.6.1-, en el cual se permitía instalar aplicaciones maliciosas en los dispositivos atacados, con el fin de robar datos que estén almacenados en los equipos de los usuarios.
Estos programas maliciosos podían ocuparse en el teléfono mismo o de manera remota, por medio de técnicas drive-by. IBM indica en un comunicado de prensa que esta última función “no puede explotarse si la app de Dropbox está instalada en el dispositivo (no es necesario que esté configurada, sólo instalada)”.
Lo interesante de esto es que el organismo de seguridad digital dio aviso de manera privada a la compañía, y Dropbox fue capaz de arreglar la falla -en su versión 1.6.2- en sólo 4 días. Si echamos nuestros relojes hacia atrás un par de meses, podremos recordar los bullados casos de Google y Project Zero, quienes, si bien cumplen con la misma función, se han caracterizado por sus “amenazas” de hacer públicas estas debilidades, una vez transcurrido su ya bien conocido plazo de 90 días.
Como última recomendación, IBM Security aconseja a los desarrolladores y usuarios finales que actualicen la aplicación a la última versión disponible, la que debiera traer arreglada esta vulnerabilidad.
