Wykryto kolejne luki w zabezpieczeniach usługi Dropbox

Znalezione błędy to efekt analizy pracowników austriackiej firmy SBA Research, która przedstawiła swój raport na USENIX Security Symposium.

SBA Research przygotowała specjalne exploity, którymi zaprezentowała na sympozjum podatność Dropboksa na ataki. Mowa tutaj o trzech lukach, które z powodzeniem wykorzystały złośliwe aplikacje.

Pierwsza metoda ataku polegała na dostarczeniu fałszywych sum kontrolnych, na których Dropbox operuje, by sprawdzić, czy dodawane przez użytkownika pliki są duplikatami już istniejących. W efekcie uzyskano dostęp do plików internauty. Co ciekawe, nie otrzymywał on żadnych informacji o zalogowaniu innej osoby na konto, zatem atak był całkowicie niezauważalny.

Druga luka polegała na możliwości przejęcia 128-bitowego ID hosta Dropboksa, który jest generowany przy logowaniu. Uzyskanie kodu pozwalało na sprawne podszycie się pod uzytkownika.

Trzeci sposób wykorzystywał natomiast funkcję udostępniania adresów URL do plików. Odpowiednia analiza linku pozwalała bowiem również na przejęcie ID hosta i uzyskanie dostępu do konta.

Dzięki analizie SBA Research wszystkie opisane błędy zostały już naprawione. Raport trafił bowiem do pracowników Dropboksa jeszcze przed sympozjum, dzięki czemu prezentacja nieistniejących już luk nie naraża użytkowników na ataki ze strony hakerów.