Dos serviços assentes na Internet e no que ela tem para oferecer o Dropbox é dos mais famosos e usados. Sendo muito mais do que um simples serviço de alojamento de ficheiros, tem sabido crescer e acompanhar a concorrência.
Mas o Dropbox é tão vulnerável como qualquer outro serviço e desta vez foi a vítima. A sua SDK para Android teve uma falha de segurança grave e que podia ser explorada por qualquer um.
O problema de segurança que afectou o Dropbox não estava ligado directamente à sua aplicação para Android mas sim à SDK que os programadores podem usar para interligar as suas aplicações com este serviço.
Foi descoberto e reportado ao Dropbox pela equipa X-Force Application Security Research da IBM, que lhe deu o nome de DroppedIn. A resposta do Dropbox foi imediata tendo aceite o problema em menos de 6 minutos, reconhecido a existência do mesmo em apenas 24 horas e apresentado uma solução em quatro dias.
A SDK em causa permitia que as aplicações que a usaram podiam ser ligadas a uma conta de Dropbox controlada por um utilizador malicioso, algo que representa uma falha grave do mecanismo de controlo de acessos.
As versões da SDK que têm este problema são a 1.5.4 e anteriores e o problema está mesmo contido a esta SDK e não à própria aplicação do Dropbox, que não apresenta este problema.
Para explorar esta vulnerabilidade da SDK do Dropbox o atacante precisa de recorrer a um de dois métodos possíveis. O primeiro através da instalação de uma aplicação no terminal Android ou em alternativa através de um processo remoto em que o atacante guia o utilizador para conseguir forçar o ataque.
Apesar de ter sido corrigido o problema nas versões mais recentes da SDK existem ainda muitas aplicações que ainda usam as SDK’s afectadas pelo problema.
Depende por isso dos programadores a resolução deste problema. Ao actualizarem as suas aplicações para a nova SDK e lançando novas versões das mesmas garantem a segurança dos utilizadores.
Por outro lado existe uma forma simples dos utilizadores se protegerem. Passa pela instalação da aplicação do Dropbox para Android e a sua utilização sempre que quiserem aceder aos ficheiros armazenados nesse serviço.
A rapidez com que o Dropbox tratou deste problema mostra bem a importância que dão à segurança e à protecção dos dados dos utilizadores.