» »

Predstavljene tri ranljivosti v Dropboxu

ComputerWorld - Junija smo poročali o bizarni napaki v Dropboxu, ko se je bilo štiri ure mogoče prijaviti v poljuben račun samo s poznavanjem elektronskega naslova, ki služi kot uporabniško ime, brez poznavanja gesla. Dropbox, ki se uporablja za hranjenje podatkov v oblaku in avtomatično sinhronizacijo med različnimi računalniki ter je zaradi enostavnosti uporabe izjemno priljubljen, je takrat napako urno popravil, a žal to ni edina varnostna pomanjkljivost. Raziskovalci so na simpoziju USENIX Security predstavili kar tri, ki so bile pred javno razgrnitvijo sicer že odpravljeni.

Na Dropboxu je bilo namreč mogoče ponarediti zgoščeno kodo oziroma prstni odtis (hash), ki se izračuna iz vsake datoteke, ki jo naložimo v oblak. To omogoča, da Dropbox datoteke, ki jih že poseduje kakšen drug uporabnik, enostavno pripiše tudi na račun novega nalagalca, ne da bi se datoteka fizično prenesla. S tem se varčujeta tako prostor na diskih kot tudi čas za sinhronizacijo, ne da bi Dropbox imel pregled nad vsebino datotek.

V prvem napadu je mogoče Dropbox pretentati, da napadalcu ponudi datoteko s poljubno vrednostjo hash, ki jo že ima shranjeno nek drugi poljubni uporabnik. Napadalec je zgolj posredoval lažni hash, tako da se je zdelo, da ima tudi sam to datoteko za sinhronizacijo. Prizadeti uporabnik ni mogel vedeti, da se je napad sploh zgodil.

Drugi napad je omogočal dostop do poljubnega računa, če je napadalec žrtvi odtujil 128-bitno identifikacijsko številko (host ID), ki jo Dropbox generira za vsak račun. Tretji napad pa je omogočal, da je napadalec prek SSL poslal zahtevek po poljubnem kosu datoteke z določeno vrednostjo hash in ID kateregakoli veljavnega računa. Ta napad je bil tudi edini, ki ga je Dropbox lahko zaznal, saj se ID in hash nista ujemala. Prvih dveh napadov ni bilo mogoče uloviti.

Dropbox je vse opisane luknje že odpravil, zato so se raziskovalci odločili za javno predstavitev. Kot vedno pa vsem uporabnikom svetujejo, da vse svoje podatke pred prenosom v oblak šifrirajo.

1 komentar

zaj_tam ::

V prvem napadu je mogoče Dropbox pretentati, da napadalcu ponudi datoteko s poljubno vrednostjo hash, ki jo že ima shranjeno nek drugi poljubni uporabnik. Napadalec je zgolj posredoval lažni hash, tako da se je zdelo, da ima tudi sam to datoteko za sinhronizacijo. Prizadeti uporabnik ni mogel vedeti, da se je napad sploh zgodil.


Je bil že tista dropship aplikacija - alternativa torrentu. Je možno zgenerirat hash brez da bi imel želeno datoteko?

To so blokirali samo zaradi piratstva :)

In kako je zdaj drugače rešeno s tisto 128-bitno številko?


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Za nekaj ur dostopni vsi podatki v Dropboxu

Oddelek: Novice / Varnost
375618 (3218) 3p
»

Pritožba zoper Dropbox pri FTC zaradi zavajanja o varnosti

Oddelek: Novice / Zasebnost
102771 (1401) Jeronimo
»

Odkrita resna ranljivost v Dropboxu (strani: 1 2 )

Oddelek: Novice / Varnost
609718 (5137) ginekolog

Več podobnih tem