Разработчики Dropbox устранили три серьезные уязвимости

В ходе конференции USENIX Security эксперты по информационной безопасности описали три уязвимости, эксплуатируя которые потенциальный злоумышленник мог получить доступ к конфиденциальным данным в сервисе Dropbox. Служба разработана на основе «облачных» технологий и используется для хранения файлов на внешних ресурсах. Стоит отметить, что указанные уязвимости были обнаружены в результате исследования, проведенного в прошлом году, однако в целях безопасности, специалисты не придавали огласке результаты своей работы. В настоящий момент разработчики уже исправили все обнаруженные уязвимости.  

Первый тип атаки, разработанный исследователями, основан на подмене хэш-пакетов, которые используются для идентификации элементов данных, хранящихся в облаке. Системы Dropbox генерируют эти значения, чтобы определить наличие того или иного файла в хранилище, тем самым предотвращая появление дубликатов. Успешная проверка наличия файла в сервисе, привязывала его к учетной записи, от которой шел запрос, тем самым обеспечивая полный доступ к документу. Таким образом, злоумышленник мог незаметно для владельца извлечь из облака любые его данные.  

Вторая атака могла быть реализована при наличии так называемого идентификатора хоста. То есть предварительно необходимо было похитить 128 – битный ключ, который сервис генерирует для опознавания своих клиентов. Стоит отметить, что при генерации этого ключа используются имя пользователя, время и дата. В случае если хакеру удавалось узнать этот ключ, он мог подменить им свой идентификатор, и таким образом получить полный список принадлежащих жертве документов с правами на их скачивание.  

Последний тип атаки, представленный исследователями, предполагал использование функции запроса данных. Для того чтобы похитить определенный объект, злоумышленнику нужно было знать хэш-значение фрагмента информации, а также любой существующий идентификатор хоста, причем не обязательно тот, который был ассоциирован с учетной записью владельца данных. Исследователи отмечают, что этот тип атаки сервис Dropbox все же мог частично блокировать, ввиду несоответствия файлов и учетных записей.  

www.securitylab.ru

публикации сходной тематики

Комментирование закрыто.

 

При наполнении сайта использована информация из открытых источников. Владелец сайта не несет ответственности за недостоверную и заведомо ложную информацию размещенную на страницах сайта. При использовании информации опубликованной на нашем сайте, ссылка обязательна.

Реклама на сайте: