Odkrita resna ranljivost v Dropboxu

Matej Huš

10. apr 2011 ob 08:43:13

Storitev Dropbox, ki je med nami že nekaj časa in je po dolgem beta stadiju konec lanskega leta prilezla do prve stabilne različice, omogoča avtomatično sinhronizacijo dokumentov na lokalnem računalniku v oblak v realnem času. Zavoljo brezplačnosti, preprostosti, prenosljivosti (podprte so vse pomembnejše platforme) in prostornosti (osnovni paket obsega dva gigabajta) je Dropbox najbolj priljubljena storitev svoje vrste. Derek Newton sedaj v svojem blogu poroča o odkriti ranljivosti v preverjanju pristnosti v računu za Dropbox, ki omogoča napadalcu pridobitev dostopa do računa.

Za povezavo računalnika z računom za Dropbox mora uporabnik nanj namestiti odjemalca, določiti lokalno mapo, ki se sinhronizira, in vpisati elektronski naslov in geslo za račun. Zatem je sistem povezan z računom in avtomatično sinhronizira datoteke. Newton je odkril, da se za avtentifikacijo potrebni podatki zapišejo v datoteko config.db, ki ima tri pomembne vrstice: elektronsko pošto, pot do lokalne mape in ID-številko. Slednja se določi po namestitvi in se ne spreminja. Problem je, da se preverjanje pristnosti izvede samo s pomočjo slednje, tako da lahko napadalec enostavno datoteko config.db prekopira na drug računalnik, če dobi fizični dostop do nje, in slednji bo avtomatično imel dostop do računa Dropbox, ne da bi moral vpisati kakršnokoli geslo. Tudi če uporabnik spremeni geslo, config.db še vedno omogoča dostop.

Čeprav je običajno v primeru, da dobi napadalec dostop do datoteke config.db, tako ali tako ogrožen celoten sistem in lahko dostopi do lokalne mape za Dropbox, je to resna ranljivost. Obstojijo namreč okoliščine, ko lahko posedovanje datoteke config.db kljub temu zlorabi. Zato ni odveč poudariti, da je vedno nadvse koristno podatke, ki so v oblaku, šifrirati.