Файлы, вверенные облачному хранилищу Dropbox, были уязвимы к
несанкционированному доступу посредством трех атак, разработанных
исследователями в области безопасности, но провайдер уже устранил данные
уязвимости. Dropbox мог также быть использован как место для секретного
анонимного хранения документов, возможность извлечь которые была у любого
Dropbox аккаунта, контролируемого злоумышленником.
Исследователи, представившие свою работу на симпозиуме по безопасности USENIX
Security Symposium, говорят, что они разработали эксплойты в прошлом году, но
дали Dropbox время для устранения проблем, прежде чем предать их огласке.
Сперва им удалось подделать хеш-значения, которые предназначены для
идентификации данных, хранимых в облаке Dropbox. Dropbox проверяет эти значения,
чтобы установить хранятся ли уже эти данные в облаке, и если да, то просто
привязывает их к аккаунту пользователя, который отправил хеш. Подделывая хеши
они смогли получить от Dropbox разрешение на доступ к данным других
пользователей, сообщили исследователи из SBA Research в Австрии. Поскольку
несанкционированный доступ разрешался облаком, клиент, чьи файлы хранились на
серверах, даже не знал о проникновении, заявили они.
Вторая атака требовала кражи Dropbox host ID жертвы, который представляет
собой 128-битный ключ, генерируемый Dropbox при помощи клиентской информации,
такой как имя пользователя, время и дата. Как только злоумышленник заполучал ID
жертвы, он мог заменить им свой собственный. Когда он пересинхронизировал свой
аккаунт, им могли быть загружены все файлы жертвы.
Третья атака использовала преимущество функции, которая позволяет клиентам
Dropbox запрашивать фрагменты файлов через SSL по определенному URL. Все, что
необходимо, это хеш-значение фрагмента и любой действующий ID – необязательно ID
хоста, к которому привязан запрашиваемый фрагмент. Эта атака определялась
Dropbox из-за несоответствия между запрашиваемым фрагментом и аккаунтом, его
запрашивающим, сообщили исследователи.
Эти три атаки могли стать полезными инструментами для кражи данных из
организаций, использующих Dropbox, заявили исследователи. Вместо того, чтобы
воровать все файлы из корпоративных сетей, злоумышленникам нужно лишь украсть
хеш необходимых им данных. Затем хеш мог быть передан Dropbox из любой точки
мира для загрузки фактических данных.
Атаки могли быть использованы и для сокрытия данных в облаке Dropbox,
отмечают исследователи. Неограниченные порции данных можно было загрузить в
облако без установления связи с аккаунтом злоумышленника при помощи
модифицированного клиента Dropbox. Для извлечения данных можно было просто
отправить их хеш Dropbox, как если бы злоумышленник действительно загрузил
данные. Поскольку фрагмент данных с соответствующим хешем уже находился в
облаке, Dropbox просто привязывал данный фрагмент к аккаунту, отправлявшему хеш.
Любой аккаунт, контролируемый злоумышленником, мог получить доступ к данным.
В результате хакеры могли бы загружать файлы с компьютера, не имеющего
жесткого диска, используя Linux live CD, и не оставлять никаких следов на
компьютере для экспертов-криминалистов.
