Dropbox corrige une vulnérabilité sur Android

Dropbox, spécialisé sur le secteur du stockage et de la synchronisation, annonce avoir comblé une faille au sein de son kit de développement pour Android.

Les développeurs de Dropbox ont été alertés d'une vulnérabilité permettant à un hackeur de s'identifier avec le compte d'un internaute puis de récupérer ses fichiers stockés en ligne. Le processus aurait été possible via une application tierce faisant usage des interfaces de programmation mises à disposition par Dropbox.

Certains utilisateurs de Dropbox sur Android ne font pas forcément usage de l'application officielle mais passent par une autre, leur apportant davantage de fonctionnalités. Elles permettent par exemple de centraliser plusieurs services de stockage au sein d'une seule interface.

Sur son blog, la société explique que la plupart des éditeurs ont mis à jour les outils de développement, mais elle lance tout de même un appel en invitant les autres à faire usage du SDK Core API Android en version 1.6.3 et du SDK Sync/Datastore Android 3.1.2.

Dropbox informe qu'un hackeur aurait pu inviter ses victimes à visiter une page Web malveillante spécifiquement conçue pour interagir avec cette application tierce. Un script aurait pu configurer le compte Dropbox du hackeur dans les paramètres de l'application vulnérable. « Cela lui aurait permis de saisir de nouvelles données sauvegardées sur Dropbox au travers de cette application », ajoute la société.

Dropbox précise toutefois ne pas avoir identifié d'éléments permettant d'affirmer que cette vulnérabilité a été exploitée par le passé. Celle-ci fut initialement découverte par deux ingénieurs d'IBM.

Télécharger Dropbox pour Windows.