Wiadomości
Dropbox rajem dla złodziei?
18 sierpnia 2011 10:54,
Antoni Steliński
Specjaliści z austriackiej firmy SBA Research znaleźli w zabezpieczeniach usługi Dropbox (umożliwiającej przechowywanie i synchronizowanie plików w chmurze) trzy poważne błędy, umożliwiające przechwycenie plików użytkownika. Luki zostały już usunięte przez operatora Dropboksa.
DropboxPolecamy:Specjaliści odkryli, że możliwe jest dostarczenie aplikacji sfałszowanych sum kontrolnych danych przechowywanych w Dropboksie (usługa wykorzystuje sumy kontrolne do sprawdzenia, czy dodawane przez użytkownika pliki nie mają już duplikatów w zasobach Dropboksa). To pozwoliło im na uzyskanie nieautoryzowanego dostępu do plików innych osób. Co ważne - ta operacja jest absolutnie niezauważalna dla użytkownika (w usłudze i aplikacji klienckiej nie pojawia się żaden komunikat informujący o tym, że ktoś inny przegląda jego pliki).
Druga metoda zaprezentowana przez SBA Research zakłada przejęcie unikalnego identyfikatora Dropbox Host ID (128-bitowego kodu, generowanego na podstawie nazwy użytkownika, czasu logowania i itp.). Po jego uzyskaniu "napastnik" może podszyć się pod użytkownika i przejąć jego pliki.
Ostatni - trzeci - sposób ataku wykorzystywał błąd w zabezpieczeniach usługi umożliwiającej udostępnienie adresu URL do konkretnych plików (np. w celu łatwego udostępniania innym osobom jakichś danych). Okazało się, że w tym przypadku możliwe jest łatwe sfałszowanie Dropbox Host ID i przejęcie danych.
"Opisane przez nas metody wykradania danych mogły być niezmiernie przydatne dla osób próbujących uzyskać nieautoryzowany dostęp do cennych informacji. Zamiast włamywać się do korporacyjnych sieci w poszukiwaniu np. dokumentów, mogli oni przejmować sumy kontrolne pożądanych przez nich plików i "wyciągać" za pośrednictwem Dropboksa" - tłumaczą specjaliści z SBA Research.
Opisane powyżej błędy zostały zgłoszone przez odkrywców do administratorów Dropboksa - ci, po zapoznaniu się z informacjami dostarczonymi przez SBA Research, załatali wszystkie luki w zabezpieczeniach.
Komentarze (0)
- Prawo Moore’a zagrożone?
- Bezpieczeństwo WiFi - bezprzewodowe testy penetracyjne
- Wirtualizacja: obsługa SMB na czterech U
- Prawdziwe powody powstania Microsoft Open Technologies
- Open source: zmierzch ery GPL? Nie do końca...
- ROVER - prosty sposób na słabość BGP?
- Zaawansowane stacje Wi-Fi Ruckus Wireless
- Rozstanie z Javą nie będzie proste
- Google Drive uwypukla słabe strony publicznych chmur obliczeniowych
- Serwery "zombie" w centrum danych
Reklama
Huawei celuje w rynek biznesowy
Huawei nieustannie rozwija się jako dostawca infrastruktury dla branży telekomunikacyjnej. W tym roku chiński koncern zamierza umocnić swoją pozycję również na rynku rozwiązań Enterprise.
Polecane
Koniec Windows XP początkiem problemów?
Microsoft oficjalnie potwierdził, że za dwa lata definitywnie zakończy się era Windows XP - systemu operacyjnego,...
Spokój i luz administratora
Wymagania wobec pracowników działów IT rosną proporcjonalnie do stopnia rozwoju teleinformatyki. Oczekuje się, że...