Уязвимость в клиенте DropBox






Эксперт по безопасности Derek Newton считает, что использование популярного онлайн-сервиса Dropbox потенциально небезопасно. Сервис предлагает пользователям онлайн-доступ к своим файлам, а также синхронизацию их между разными компьютерами. Клиентская часть сервиса разработана под различные ОС, в том числе Windows, Linux, Mac OS,  iOS и Android. Бесплатный онлайн-сервис Dropbox очень популярен среди как частных, так и корпоративных пользователей.


Исследуя клиент под Windows, Newton обнаружил серьёзную уязвимость при работе ПО с данными для доступа к учётной записи. В процессе установки клиента сервиса от пользователя требуется ввод персональных данных учётной записи, на основании которых в процессе установки генерируется токен аутентификации, т. н. host_id, который впоследствии локально сохраняется в файле %APPDATA%\Dropbox\config.db системы.

Newton сообщает, что host_id не привязан к системе, на которой он был сгенерирован и, следовательно, может быть перенесён ан другие системы. Эта возможность может быть использована троянскими конями для передачи config.db злоумышленникам, которые в последствии смогут подключаться к сервису от имени взломанной системы и получить доступ к файлам пользователя. Такие подключения, очевидно, никак не могут быть обнаружены, поскольку используется host_id взломанной системы. Никаких запросов для ввода персональных данных при подключении не выводится и никакие посторонние хосты в списке подключённых к сервису систем пользователь не увидит.

Смена пароля в качестве превентивной меры не поможет, поскольку это действие никак не изменяет содержимое host_id. Исключить неавторизованное использование host_id можно перейдя на www.dropbox.com/account и выбрав «My Computers», а затем «Unlink»для скомпрометированной системы.

Newton считает, что подобная дыра в безопасности образовалась из-за недостатков в архитектуре ПО клиента для Windows. Он не уверен, присутствует ли подобная уязвимость в клиенте для других ОС, однако скорей всего, это так, поскольку архитектура клиентской части сервиса для всех платформ одинакова. Newton советует корпоративным пользователям пока воздержаться от использования Dropbox. Эксперт также рекомендует хранить важные файлы на сервисе в зашифрованном виде, а также отключить все неиспользуемые системы от сервиса, чтобы уменьшить риск использования злоумышленниками украденных файлов config.db.

В обсуждении, развернувшемся на форуме Dropbox, главный технический директор проекта Arash Ferdowsi выразил своё несогласие с заявлениями эксперта. Он отметил тот факт, что как только некто получает несанкционированный физический, или при помощи трояна, доступ к файловой системе компьютера, битву можно считать проигранной, поскольку злоумышленник получает доступ ко всем данным системы. Но, несмотря на это, Ferdowsi соглашается с тем, что токен аутентификации необходимо защитить. Он говорит, что компания «очень внимательно относится ко всем идеям повышения безопасности, которые можно сделать» и внедряет их в новых версиях клиента Dropbox. Он упомянул о вариантах использования более сложных токенов, изменения прав доступа к файлам, а также запутывания фактического местоположения токена. Также в качестве варианта рассматривается генерация токена с использованием информации, специфичной и уникальной для каждой системы, исключив таким образом несанкционированное использование токенов аутентификации.




Уязвимость в клиенте DropBox: 3 комментария

  1. тех директор неправ: в случае доступа к ФС злоумышленник получает временный доступ к файлам данных. эта дыра может быть закрыта антивирусной очисткой; когда трояна скрутят в кутузку, у злоумышленника не будет доступа ни к системе, ни к файлам дропбокса. а имея на руках токен, злоумышленник всегда будет иметь доступ к данным, в том числе к новым данным, добавляемым в ящик дбокса.

Комментарии запрещены.