Вчера, 24 мая 2016 года, в официальном блоге Dropbox был опубликован материал о грядущих переменах, которые должны затронуть клиент для десктопов. Фактически, компания планирует сделать облачное хранилище частью файловой системы, чтобы весь контент в облаке был доступен пользователю напрямую, без браузеров и других «костылей». Для этого будет использоваться технология, получившая имя Dropbox Infinite, и Dropbox, по сути, станет частью ядра ОС. Специалисты в области информационной безопасности не в восторге от планов компании и уже называют Dropbox Infinite «кошмаром безопасника».
The next @Dropbox client is gonna be a kernel module? https://t.co/qBb2uoxWEK Folks, I love your product, but this is a security nightmare.
— Tim Weber (@scy) May 25, 2016
Как только данный материал был опубликован, в социальных сетях начала подниматься волна недоумения и паники со стороны ИБ-специалистов. «Действительно, что может пойти не так?», — саркастично пишут одни. «Сегодня же не первое апреля», — удивляются другие.
https://twitter.com/ahojmark_dk/status/735447162784501760
https://twitter.com/josephfcox/status/735387975731843072
Программа, работающая в пространстве ядра, действительно, не совсем обычное дело: как правило, подобный «уровень допуска» есть только у антивирусных продуктов. Учитывая, насколько чувствительна данная область системы, любая ошибка в коде программы и любая уязвимость могут привести к катастрофе.
«Если пустить Dropbox в ядро, он получил доступ ко всей системе вообще», — пишет Сэм Боуни, преподающий этичный хакинг в городском колледже Сан-Франциско. — «Если в коде Dropbox обнаружится брешь, через нее можно будет захватить всю систему».
https://twitter.com/duspom/status/735263193497505792
Dropbox.kext? It's a joke, right?
— Edgar Barbosa (@embarbosa) May 25, 2016
Также эксперты отмечают, что могут возникнуть определенные проблемы с приватностью, все зависит от того, какие именно данные Dropbox будет отсылать на свои серверы. К примеру, известный реверс инженер Педро Вилача (Pedro Vilaça) пишет:
«Пока они не загружают никакие данные на свои серверы, новая модель просто дает им тот же вид на файловую систему, что есть у антивирусных решений и некоторых других утилит, которые устанавливают пользователи».
«Переехав из юзерляндии в ядроленд, Dropbox возьмет на себя большую ответственность», — уверен Боуни. — «Сейчас Dropbox работает как продавец хотдогов, который торгует с передвижного прилавка рядом с вашим домом. Но теперь они предлагают сделать слепки с ваших ключей от дома, переехать к вам, и жить всем вместе».
Project Infinite -- @Dropbox Moves Into the Kernel https://t.co/98tkRVinIf
— Netizen Rights (@netizenrights) May 25, 2016
So let's move Dropbox to the trash bin. What's your alternative?
Официальные представители Dropbox пока хранят молчание и никак не комментируют недоумение сообщества.
Фото: Mashable
