Разработчики Dropbox устранили три серьезные уязвимости
В ходе конференции USENIX Security эксперты по информационной безопасности описали три уязвимости, эксплуатируя которые потенциальный злоумышленник мог получить доступ к конфиденциальным данным в сервисе Dropbox. Служба разработана на основе «облачных» технологий и используется для хранения файлов на внешних ресурсах. Стоит отметить, что указанные уязвимости были обнаружены в результате исследования, проведенного в прошлом году, однако в целях безопасности, специалисты не придавали огласке результаты своей работы. В настоящий момент разработчики уже исправили все обнаруженные уязвимости.
Вторая атака могла быть реализована при наличии так называемого идентификатора хоста. То есть предварительно необходимо было похитить 128 – битный ключ, который сервис генерирует для опознавания своих клиентов. Стоит отметить, что при генерации этого ключа используются имя пользователя, время и дата. В случае если хакеру удавалось узнать этот ключ, он мог подменить им свой идентификатор, и таким образом получить полный список принадлежащих жертве документов с правами на их скачивание.
Последний тип атаки, представленный исследователями, предполагал использование функции запроса данных. Для того чтобы похитить определенный объект, злоумышленнику нужно было знать хэш-значение фрагмента информации, а также любой существующий идентификатор хоста, причем не обязательно тот, который был ассоциирован с учетной записью владельца данных. Исследователи отмечают, что этот тип атаки сервис Dropbox все же мог частично блокировать, ввиду несоответствия файлов и учетных записей.
www.securitylab.ru