Dropbox poate fi spart, sustin cercetatorii in domeniul securitatii

[Matt]

Cercetatorii in domeniul securitatii au publicat o lucrare de cercetare prin care explica modalitatea in care au ocolit functiile de securitate ale serviciului de stocare cloud-based Dropbox si au obtinut acces la fisierele private ale utilizatorilor.

Dhiru Kholia din cadrul Openwall si Przemyslaw Wegrzyn din cadrul CodePainters au declarat ca, desi serviciul are peste 100 milioane de utilizatori, platforma nu a mai fost analizata, pana acum, in mod extensiv, din punct de vedere al securitatii. Acestia au explicat ca obiectivul lor este acela de a determina Dropbox sa creeze o versiune open source, ceea ce ar insemna ca oricine ar putea analiza codul si ar putea verifica daca serviciul este sigur.

Cercetatorii au relevat ca au reusit sa obtina acces neautorizat la fisiere, in ciuda faptlui ca Dropbox a adaugat functii de securitate dupa ce a fost atacat, cu un an in urma. Masurile de securitate vizand atragerea utilizatorilor enterprise includeau criptare si autentificare two-factor, insa ambele au fost ocolite de catre Kholia si Wegrzyn. Acestia au reusit sa inverseze portiunea Dropbox care ruleaza pe computerul utilizatorului, in ciuda faptului ca Dropbox a fost scris in Python, folosindu-se tehnici de prevenire a ingineriei inverse. Acest lucru inseamna ca multe alte servicii cloud care utilizeaza Python si aceleasi tehnici anti-hacking ar putea fi supusi riscului, a informat Business Insider.

Cercetatorii au descoperit faptul ca autentificarea two-factor, cum este cea folosita de catre Dropbox, protejeaza doar impotriva accesului neautorizat pe site-ul Dropbox.

"API-ul internal client al Dropbox nu suporta si nu utilizeaza autentificarea two-factor. Acest lucru presupune faptul ca este suficient a detine doar valoarea host_id pentru a obtine acces asupra datelor vizate, stocate in Dropbox", au explicat cercetatorii.

Cu toate acestea, Dropbox a declarat ca nu crede ca cercetarea prezinta o vulnerabilitate in Dropbox client. "In cazul prezentat in cercetare, computerul utilizatorului ar trebui mai intai sa fie compromis intr-un mod care ar afecta intregul computer, nu doar Dropbox-ul utilizatorului", a opinat compania.

Kholia si Wegrzyn spera ca vor fi ajutati sa construiasca o metoda mai sigura, open source, pentru utilizarea Dropbox, care va putea fi adoptata de catre Dropbox.

Source : ComputerWeekly.com | Information Technology (IT) News, UK IT Jobs, Industry News