Computerworld.pl
 
  1. Strona główna
  2. Wiadomości
  3. Dropbox rajem dla złodziei?

Dropbox rajem dla złodziei?

Specjaliści z austriackiej firmy SBA Research znaleźli w zabezpieczeniach usługi Dropbox (umożliwiającej przechowywanie i synchronizowanie plików w chmurze) trzy poważne błędy, umożliwiające przechwycenie plików użytkownika. Luki zostały już usunięte przez operatora Dropboksa.

Wyniki analiz pracowników SBA Research zostały przedstawione na konferencji USENIX Security Symposium - zaprezentowano tam exploity, wykorzystujące wadliwie funkcjonujące zabezpieczenia usługi. Luki zostały wykryte i przetestowane już w ubiegłym roku, jednak zaprezentowano je dopiero teraz, po załataniu ich przez dostawcę usług.

Specjaliści odkryli, że możliwe jest dostarczenie aplikacji sfałszowanych sum kontrolnych danych przechowywanych w Dropboksie (usługa wykorzystuje sumy kontrolne do sprawdzenia, czy dodawane przez użytkownika pliki nie mają już duplikatów w zasobach Dropboksa). To pozwoliło im na uzyskanie nieautoryzowanego dostępu do plików innych osób. Co ważne - ta operacja jest absolutnie niezauważalna dla użytkownika (w usłudze i aplikacji klienckiej nie pojawia się żaden komunikat informujący o tym, że ktoś inny przegląda jego pliki).

Zobacz również:

  • Zewnętrzny dysk, chmura czy dysk sieciowy? Jak zadbać o backup
  • Cyfrowa transformacja z AI - co nowego na Google Cloud Next 24

Druga metoda zaprezentowana przez SBA Research zakłada przejęcie unikalnego identyfikatora Dropbox Host ID (128-bitowego kodu, generowanego na podstawie nazwy użytkownika, czasu logowania i itp.). Po jego uzyskaniu "napastnik" może podszyć się pod użytkownika i przejąć jego pliki.

Ostatni - trzeci - sposób ataku wykorzystywał błąd w zabezpieczeniach usługi umożliwiającej udostępnienie adresu URL do konkretnych plików (np. w celu łatwego udostępniania innym osobom jakichś danych). Okazało się, że w tym przypadku możliwe jest łatwe sfałszowanie Dropbox Host ID i przejęcie danych.

"Opisane przez nas metody wykradania danych mogły być niezmiernie przydatne dla osób próbujących uzyskać nieautoryzowany dostęp do cennych informacji. Zamiast włamywać się do korporacyjnych sieci w poszukiwaniu np. dokumentów, mogli oni przejmować sumy kontrolne pożądanych przez nich plików i "wyciągać" za pośrednictwem Dropboksa" - tłumaczą specjaliści z SBA Research.

Opisane powyżej błędy zostały zgłoszone przez odkrywców do administratorów Dropboksa - ci, po zapoznaniu się z informacjami dostarczonymi przez SBA Research, załatali wszystkie luki w zabezpieczeniach.
W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200

Computerworld

Computerworld dostarcza najświeższe informacje, opinie, prognozy i analizy z branży IT w Polsce i na świecie.

Tematy

Serwisy IDG

Znajdź nas:   

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

Zamów reklamę

(+48) 662 287 830
Napisz do nas