Explotación remota del Dropbox SDK de Android.

Hoy haciendo el trabajo de cada día me he encontrado con la siguiente vulnerabilidad que, aparte de ser de un sistema de almacenamiento conocido como es Dropbox, de estar muy bien explicado y ser obra de gente de IBM, viene con vídeo, paper y exploit.

El problema radica en el mecanismo de autentiación del Dropbox SDK quedando vulnerables todas las aplicación que lo utilicen en las versiones que van de la 1.5.4 a 1.6.1. No hace falta decir que a partir de la versión 1.6.2 ya no es vulnerable. Esta vulnerabilidad permite  conectar aplicaciones de dispositivos móviles con una cuenta de Dropbox controlada por el atacante, sin el conocimiento o la autorización de la víctima.

Si tenéis mucha mas curiosidad os dejo aquí el white-paper con información mucho mas técnica y donde viene el exploit en la ultima página: 

• http://www.slideshare.net/ibmsecurity/remote-exploitation-of-the-dropbox-sdk-for-android

Exploit: 

Fuente: 

• http://seguinfo.blogspot.com.es/2015/03/ibm-descubre-vulnerabilidad-en-dropbox.html

Sed Buenos con esto 0;)