Dropbox es un servicio de alojamiento de archivos en la nube que puede ser utilizado tanto en computadoras de distintas plataformas como en dispositivos móviles. Éste permite la sincronización en diferentes máquinas de los archivos alojados, además de la compartición de los mismos.
Recientemente Derek Newton publicó en su blog el descubrimiento de la posibilidad de que los credenciales de Dropbox de un equipo puedan ser utilizados en otras máquinas.
Dropbox almacena en una base de datos SQLite, a la cual se puede acceder con herramientas al alcance de cualquiera, varios valores que pueden ser utilizados para identificarse con el servidor de sincronización, como son el 'host_id' y el 'email'. Esta forma de almacenamiento de datos no habría trascendido si además de la utilización del valor 'host_id' para la autenticación se necesitasen otras credenciales, o identificadores como pueden ser la MAC del equipo, nombre de la máquina, número de serie del CPU... ; el único método de autenticación e identificación de la máquina es el envío del valor de 'host_id', hecho que permite que pueda ser utilizado en cualquier otro equipo diferente al que le ha extraída la información.
El conocer el identificador, además de permitir la sincronización y total acceso a los archivos, da acceso de forma automática al sitio web desde donde se gestiona la cuenta. Otro problema que se suma a que la identificación del equipo se realice únicamente con este identificador es que aunque el usuario de la cuenta cambie su contraseña, dicho identificador no sufrirá ningún cambio. Este comportamiento puede generar un problema, ya que las credenciales que hubiesen caído en manos extrañas seguirían siendo efectivas hasta que el usuario legítimo elimine la asociación entre la cuenta y el equipo de donde haya sido extraído el 'host_id'.
Se hicieron públicas herramientas que permiten de forma automática obtener el archivo 'config.db' y la extracción de su contenido, además de facilitar la configuración en otras máquinas con los credenciales extraídos y el envío de los mismos a páginas web.
A pesar de que en el estudio inicial solo hizo referencia al archivo 'config.db' y al funcionamiento de la aplicación en Windows, todos los sistemas de distintas plataformas que utilicen esta forma de funcionamiento son igual de susceptibles para poder extraer el identificador de la máquina en la que se encuentra instalado Dropbox.
Dropbox no considera que el problema sea tan grave, alegando que la persona que obtenga dicho archivo, deberá tener acceso físico a la máquina, y por lo tanto a todos los archivos que han sido compartidos.
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4558
Recientemente Derek Newton publicó en su blog el descubrimiento de la posibilidad de que los credenciales de Dropbox de un equipo puedan ser utilizados en otras máquinas.
Dropbox almacena en una base de datos SQLite, a la cual se puede acceder con herramientas al alcance de cualquiera, varios valores que pueden ser utilizados para identificarse con el servidor de sincronización, como son el 'host_id' y el 'email'. Esta forma de almacenamiento de datos no habría trascendido si además de la utilización del valor 'host_id' para la autenticación se necesitasen otras credenciales, o identificadores como pueden ser la MAC del equipo, nombre de la máquina, número de serie del CPU... ; el único método de autenticación e identificación de la máquina es el envío del valor de 'host_id', hecho que permite que pueda ser utilizado en cualquier otro equipo diferente al que le ha extraída la información.
El conocer el identificador, además de permitir la sincronización y total acceso a los archivos, da acceso de forma automática al sitio web desde donde se gestiona la cuenta. Otro problema que se suma a que la identificación del equipo se realice únicamente con este identificador es que aunque el usuario de la cuenta cambie su contraseña, dicho identificador no sufrirá ningún cambio. Este comportamiento puede generar un problema, ya que las credenciales que hubiesen caído en manos extrañas seguirían siendo efectivas hasta que el usuario legítimo elimine la asociación entre la cuenta y el equipo de donde haya sido extraído el 'host_id'.
Se hicieron públicas herramientas que permiten de forma automática obtener el archivo 'config.db' y la extracción de su contenido, además de facilitar la configuración en otras máquinas con los credenciales extraídos y el envío de los mismos a páginas web.
A pesar de que en el estudio inicial solo hizo referencia al archivo 'config.db' y al funcionamiento de la aplicación en Windows, todos los sistemas de distintas plataformas que utilicen esta forma de funcionamiento son igual de susceptibles para poder extraer el identificador de la máquina en la que se encuentra instalado Dropbox.
Dropbox no considera que el problema sea tan grave, alegando que la persona que obtenga dicho archivo, deberá tener acceso físico a la máquina, y por lo tanto a todos los archivos que han sido compartidos.
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4558
No hay comentarios:
Publicar un comentario