El titular no es engañoso, o una broma, o un clickbait: si tienes Dropbox instalado en tu Mac y le has dado la contraseña de administrador alguna vez, tiene acceso completo a tu ordenador y lo recuperará si se lo intentas quitar.

Para comprobarlo por vosotros mismos sólo tenéis que acudir a Preferencias del sistema, entrar en la sección de ‘Seguridad y privacidad‘, entrar en la pestaña de Privacidad y ver qué aplicaciones tienen acceso a la Accesibilidad del Mac. Las aplicaciones que aparecen ahí tienen permiso para controlar todo tu ordenador, desde ver qué escribes hasta hacer clicks por sí mismas. En otras palabras, están al nivel de administrar el sistema.

Y si, te vas a encontrar a Dropbox allí y jamás te ha pedido permiso.

accesibilidad-mac-dropbox

Pero ahí no termina la broma, porque puedes intentar quitarla de ahí, y te va a dejar sin muchos problemas. Pero cierra Dropbox del todo, vuelve a abrirlo y vuelve a la sección donde antes estaba. Deja pasar un minuto o dos antes de entrar, que la aplicación termine de arrancar del todo, antes de volver al panel de Accesibilidad.

Sí, Dropbox se ha vuelto a meter después de que lo hubieras quitado, sin pedirte permiso o avisar.

¿Cómo lo hace cualquier aplicación que siga las reglas?

acceso-accesibilidad-aplicaciones-mac

Seguro que habéis visto el mensaje de arriba en alguna ocasión: es la única manera -según las guías de Apple- de pedir acceso a Accesibilidad a un usuario. Tenemos que ir hasta allí, desbloquear los ajustes con nuestra contraseña de administrador, y marcar específicamente la aplicación que queremos que tenga ese acceso. Nada de introducir una contraseña directamente u ocultar parte de la acción, todo viene claro y no deja lugar a dudas o errores.

¿Y cómo lo está haciendo Dropbox?

dropbox-acceso-accesibilidad-dialogo

Y así es como lo hace Dropbox: pidiéndote acceso de administrador sin explicarte en ningún momento para qué lo va a utilizar, y poniéndose solito en la lista de aplicaciones con derechos de Accesibilidad. El mensaje está hecho para parecerse todo lo posible a los mensajes de macOS, y además tienen la desfachatez de decirte que, de no darles la contraseña, la aplicación no va a funcionar bien.

También es capaz de volverse a poner cuando lo eliminamos de forma manual, algo que hace pensar que Dropbox aprovecha nuestra contraseña para hacer cosas sucias.

dropbox-ejecutable-acceso-accesibilidad

‘philastokes’, autor de applehelpwriter, ha analizado cómo consigue Dropbox este nivel de control sobre nuestro Mac, y ha conseguido averiguar que Dropbox utiliza un ataque sql a una base de datos del sistema para esquivar el método oficial de Apple, el que usan todas las aplicaciones que juegan con las reglas oficiales. El ejecutable que tenéis justo encima, llamado ‘dbaccessperm‘, es el responsable de que Dropbox se cuele entre las aplicaciones con Accesibilidad activada.

¿Y por qué importa tanto esto?

dropbox

Para empezar, Dropbox no te pide permiso jamás para hacer todo lo que hace, nunca te explica que se hace con ese acceso de Accesibilidad y todo lo que conlleva. Esto significa que no nos podemos fiar de Dropbox, ya están haciendo cosas a tus espaldas que no deberían hacer -ponerse por encima de la seguridad de Apple y de tus preferencias- y encima te están mintiendo cuando te piden la contraseña. Y si algún atacante descubre algún bug en Dropbox para Mac, el bug tendría consecuencias aún mayores por culpa de este nivel de acceso.

Además, y como ha puesto a prueba el autor del descubrimiento, Dropbox funciona perfectamente sin que le demos la contraseña de administrador, sólo está la pesadez de tener que quitar el mensaje que nos pide que metamos la contraseña, ese que se parece tanto a un mensaje de identificación del sistema. En otras palabras, no necesita este nivel de acceso para nada que nosotros queramos que haga.

dropbox-eliminar

En resumen, si tenéis Dropbox para Mac, desinstalarlo ya y quitad todos los accesos (quitad Dropbox de accesibilidad y borrar las carpetas que ha creado, una en tu carpeta de usuario y otra en Librería llamada ‘DropboxHelperTools’). La web puede ser menos práctica, pero es mucho más segura. Y ya si cambiáis de sistema de almacenamiento en la nube, mejor que mejor.

La respuesta de Dropbox

Justo antes de publicar este artículo Dropbox ha respondido públicamente a estos problemas de seguridad. La postura de la compañía es que su app hace lo mismo que otras para Mac, y que en ningún momento el programa lee ni transmite nuestra contraseña a los servidores de Dropbox.

Un representante de Dropbox asegura que la app tiene que obtener tantos permisos porque el sistema no es todo lo “granular” que le gustaría; es decir, que no pueden elegir qué permisos coger y cuáles no, y sólo usan de manera activa los que anuncian al usuario aunque en teoría tengan más.

lockboxdropbox

Sobre la manera forzosa de atacar el sistema para obtener más control, el representante afirma que se ven limitados por las APIs de OS X, que no les permiten hacer todo lo que les gustaría. Ya están en conversaciones con Apple para arreglar esto y para que si quitamos los derechos de Accesibilidad a Dropbox no vuelvan a ponerse solos.