Dropbox rajem dla złodziei?
- Antoni Steliński,
- 18.08.2011, godz. 10:54
Specjaliści z austriackiej firmy SBA Research znaleźli w zabezpieczeniach usługi Dropbox (umożliwiającej przechowywanie i synchronizowanie plików w chmurze) trzy poważne błędy, umożliwiające przechwycenie plików użytkownika. Luki zostały już usunięte przez operatora Dropboksa.
Specjaliści odkryli, że możliwe jest dostarczenie aplikacji sfałszowanych sum kontrolnych danych przechowywanych w Dropboksie (usługa wykorzystuje sumy kontrolne do sprawdzenia, czy dodawane przez użytkownika pliki nie mają już duplikatów w zasobach Dropboksa). To pozwoliło im na uzyskanie nieautoryzowanego dostępu do plików innych osób. Co ważne - ta operacja jest absolutnie niezauważalna dla użytkownika (w usłudze i aplikacji klienckiej nie pojawia się żaden komunikat informujący o tym, że ktoś inny przegląda jego pliki).
Zobacz również:
- Zewnętrzny dysk, chmura czy dysk sieciowy? Jak zadbać o backup
- Cyfrowa transformacja z AI - co nowego na Google Cloud Next 24
Druga metoda zaprezentowana przez SBA Research zakłada przejęcie unikalnego identyfikatora Dropbox Host ID (128-bitowego kodu, generowanego na podstawie nazwy użytkownika, czasu logowania i itp.). Po jego uzyskaniu "napastnik" może podszyć się pod użytkownika i przejąć jego pliki.
Ostatni - trzeci - sposób ataku wykorzystywał błąd w zabezpieczeniach usługi umożliwiającej udostępnienie adresu URL do konkretnych plików (np. w celu łatwego udostępniania innym osobom jakichś danych). Okazało się, że w tym przypadku możliwe jest łatwe sfałszowanie Dropbox Host ID i przejęcie danych.
"Opisane przez nas metody wykradania danych mogły być niezmiernie przydatne dla osób próbujących uzyskać nieautoryzowany dostęp do cennych informacji. Zamiast włamywać się do korporacyjnych sieci w poszukiwaniu np. dokumentów, mogli oni przejmować sumy kontrolne pożądanych przez nich plików i "wyciągać" za pośrednictwem Dropboksa" - tłumaczą specjaliści z SBA Research.
Opisane powyżej błędy zostały zgłoszone przez odkrywców do administratorów Dropboksa - ci, po zapoznaniu się z informacjami dostarczonymi przez SBA Research, załatali wszystkie luki w zabezpieczeniach.