Blog SegInfo – Segurança da Informação – Tecnologia – Notícias, Artigos e Novidades

Um problema de segurança foi reportado no Dropbox para Android, o qual pode ser explorado por usuários maliciosos para burlar certas restrições de segurança, de acordo com Tyrone Erasmus, da MWR InfoSecurity.

As aplicações do Android podem se comunicar umas com as outras através da exportação de funcionalidades, conhecidas como IPC endpoints. Isso é definido no arquivo AndroidManifest.xml, que faz parte de todos os pacotes de aplicações instaláveis.

Qualquer funcionalidade de uma aplicação Android pode ser exportada, então outras aplicações podem acessar essas funcionalidades e interagir com a aplicação atravessando a sandbox. Em alguns casos isso pode expor um risco à aplicação que está exportando suas funcionalidades.

É possível fazer upload das configurações e base de dados explorando essa vulnerabilidade. A base de dados inclui o endereço de email e chave secreta que pode ser usada para acessar a conta Dropbox do usuário. Esses arquivos ficam em uma área de dados que não deveria ser acessível para nenhuma outra aplicação no dispositivo, mas esta restrição está sendo burlada pela vulnerabilidade em questão.

Uma solução é desinstalar a aplicação ou atualizar para a última versão do Dropbox no Android Market. A vulnerabilidade foi corrigida na versão 1.1.4.