פירצת אבטחה חמורה ב-Dropbox

פירצת אבטחה חמורה לשירות הענן של Dropbox מאפשרת גישה לכלל הקבצים ללא ידיעת המשתמש באמצעות שימוש בקובץ קונפיגורציה אחד בלבד

צילום: יח"צ

Dropbox הוא שירות ענן המציע למשתמשים נפח אחסון מקוון ובסיסי בנפח 2GB ומעלה ומאפשר להם לסנכרן את המידע בין כלל המכשירים שברשותם על כלל מערכות ההפעלה המובילות. בכך מאפשר למעשה השירות גישה אל מאגר קבצים מכל מקום ובאמצעות מכשירים המסונכרנים עימו ומעדכנים ספרייה ספציפית באופן סימולטני.

פירצת אבטחה חמורה שנתגלתה בשירות, מאפשרת להעתיק את הקבצים המאוחסנים בחשבון למחשב אחר באמצעות שימוש בקובץ אחד בלבד.

הפירצה, שנחשפה על ידי דרק ניוטון (Derek Newton), מומחה לאבטחת מידע אמריקני, מתבססת על אחת הפונקציות הפופולאריות של Dropbox המאפשרת לסנכרן מספר מכשירים בעלי פלטפורמות שונות לשירות. הקובץ האחראי לזיהוי וסנכרון החשבון, כך נראה, מכיל מספר פרמטרים פשוטים ובלתי מקודדים ובאמצעותו ניתן למעשה להעתיק את כלל הקבצים המצויים בחשבון לכל מכשיר אחר.

קובץ אחד בלבד

על מנת לסנכרן בין המכשירים השונים לקבצים הקיימים בענן, נעזרת Dropbox בקובץ קונפיגורציה בשם config.db המכיל שלושה שדות: כתובת מייל, dropbox_path (המצביע על התיקייה הרלוונטית לסנכרון עם שירות הענן) ו-host_id (מייצר את הקשר בין המערכת לאחר הרישום הראשוני לשירות).

אלא שכאן גם נעוצה הבעיה. קובץ ה-config.db המשמש לזיהוי וסנכרון המחשב עם חשבון ה-dropbox אינו מקושר באופן חד ערכי למחשב ספציפי ועל כן ניתן למעשה ליטול אותו לכל מכשיר אחר. למעשה, מי שנגיש לקובץ הקונפיגורציה (או ל-host_id לצורך העניין), נגיש לחלוטין לחשבון ה-Dropbox של המשתמש עד שבעל החשבון יבטל את הקישור של ה-host מרשימת המכשירים המסונכרנים בשירות Dropbox.

מלבד הפשטות בתהליך הפריצה, מדובר בפריצת אבטחה שאינה תלויה כלל בסיסמת המשתמש ומאחר וכך, שינוי הסיסמא בשלב זה אינו רלוונטי כלל על מנת למנוע מסנכרון הנתונים שכן השירות מזהה את המחשב הנוסף לשירות כאל מכשיר לגיטימי שזכה להרשאה.

מעבר לכך, שירות Dropbox במתכונתו הנוכחית גם לא יתריע כלל על סנכרון המידע עם מחשב נוסף כחלק מהליך הפריצה, דבר שיאפשר לפורץ לגנוב את המידע ולעשות בו שימוש ללא ידיעתו של המשתמש.

דרכים להתגוננות

סוגיית האבטחה הנוגעת לשירותי הענן נמצאת במחלוקת כבר תקופה ארוכה ומונעת ממשתמשים רבים את המעבר המיוחל. פירצת האבטחה שנתגלתה ב-Dropbox נחשבת לחמורה מכל כך הרבה סיבות ודורשת התערבות מהירה של החברה שתתבקש לשנות את הליך הזיהוי והסנכרון בין המכשירים לשירות.

בשלב זה הדרך הטובה ביותר להגן על המידע עד עדכון אפשרי ל-Dropbox הוא פשוט לבודד את המידע החשוב והאישי ולקודד אותו באחת מן הדרכים המוכרות. פרט לכך מומלץ לצמצם למינימום את הגישה לקובץ המדובר ולנתק את כל המכשירים הישנים שהסתנכרנו בעבר עם השירות. דרך יעילה לגלות אם מישהו זר נגיש לכם לחשבון היא להציץ מידי פעם בפעולות האחרונות ולודא שהן מוכרות לכם ובוצעו על ידכם.

רועי לטקה

גיק טכנולוגי עם נגיעות של תפוח, עדיף שיגיע נגוס. חי נושם וצורך טכנולוגיה באופן אובססיבי אך מדוד. קרימינולוג בהשכלתו, לוחם בפשע ובממסד באופן סימולטני. חובב כתיבה וקריאה, ונהנה לבחון באופן מדוקדק כל דבר שניתן לפרק לגורמים, ממוצרי טכנולוגיה ועד נפש האדם.

הגב

6 תגובות על "פירצת אבטחה חמורה ב-Dropbox"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
משה רבנו
Guest

אם הפורץ כבר על מחשבנו , הוא יכול מיד להעתיק מה שהוא רוצה. בשביל מה הוא צריך לסבך את חייו בדרופבוקס?

keep life simple

נברא
Guest
אני מתרשם שזו הפחדת שוא. ואולי סתם נסיון של מתחרים לפגוע בפופולריות. הנה התגובה של dropbox: hi all, we don’t agree with the assertion that there is a security flaw – dropbox is a perfectly safe place to store sensitive data. the article claims that an attacker would be able to gain access to a user’s dropbox account if they are able to get physical access to the user’s computer. in reality, at the point an attacker has physical access to a computer, the security battle is already lost. the research claims dropbox is insecure because it is possible to… Read more »
עומר
Guest

אם לגורם עוין יש גישה פיזית למחשב שלך, פרצת האבטחה היא אצלך בבית, לא בדרופבוקס.

רם פרס
Guest
למרות צפירות ההרגעה של המגיבים הקודמים, מדובר על התקפה מסוכנת. מה גם שניתן בקלות להעלות את רמת אבטחת המידע על ידי שימוש בעוגיות “זמניות למחצה” חד פעמיות. כלומר ברגע שמחשב “מזוהה” הוא מקבל מזהה חד ערכי חדש. ואם מחשב אחר ינסה להזדהות עם מזהה “מיושן” הוא לא יקבל שירות מבלי להכניס שוב שם משתמש וסיסמה. כך נוצר מצב שברגע שנכנס לדרופבוקס (אפילו באופן אוטומטי) המזהה הישן כבר לא יהיה תקף. ואם האקר עשה זאת – נצטרך להכניס שם וסיסמה ונדע לפחות שקרה משהו חשוד – מה גם שמרגע שהכנסנו שם וסיסמה, ההאקר כבר לא יוכל להכנס יותר לחשבון. כאמור, לא… Read more »
חיים
Guest

הפיתרון פשוט ומיושם במוצר דומה שנקרא POGOPLUG.
פשוט לעשות אוטוריזציה לכל מחשב או התקן ממנו אתה ניגש לדרופבוקס.
ככה בכל פעם שתיגש מהתקן מאושר לא תדרש להזין סיסמה.
אבל התקנים חדשים ידרשו סיסמה ואוטוריזציה מול המערכת.

קובץ הדרופבוקס שעלול להגנב אינו מכיל סיסמה ועלול להסגיר את פרטי המשתמש
אבל לא יוכל לשמש לאישור התקנים חדשים וגניבת מידע.

אבל, אמו שכבר נאמר, אם ישנה גישה למחשב הפיזי עצמו (והוא כמובן כבר מאושר) אז גם ככה זה קרב אבוד…

אור
Guest

אני לא יודע מי החוקר שדיבר על ה host_id, אבל יש עוד שדה שנקרא ns_p2p_key_map ובו קיים מפתח פרטי של RSA ועוד איזו תעודה כלשהי – מהשדה הזה הוא התעלם?

wpDiscuz

תגיות לכתבה: