Hackeři získali kompletní kódy klientské aplikace Dropboxu

Zdroj: SOOM.cz [ISSN 1804-7270]
Autor: Batou
Datum: 31.8.2013
Hodnocení/Hlasovalo: 0/0

Dva vývojáři prolomili bezpečnost Dropboxu, dokázali odposlouchávat šifrovaná data z jejich serverů a obejít dvoufaktorovou autentizaci. Výsledky prezentovali na konferenci.

Bezpečnostní konference USENIX 2013, konající se v polovině srpna ve Washingtonu, se zúčastnili také dva vývojáři. Dhiru Kholia působí na University of British Columbia a v open source projektu Openwall, Przemysław Wegrzyn pak ve firmě CodePainters. Podle jejich slov provedli reverzní inženýrství Dropboxu.

Klientskou aplikaci, převážně napsanou v Pythonu, využívá každý den přes 100 milionů lidí. Ti uploadují více než miliardu souborů denně. Zmíněným hackerům se podařilo dešifrovat a dekompilovat kód, který tak mohli do podrobna zkoumat. Cílem tedy nebylo zkoumat zranitelnosti na serverech, ale právě v klientské aplikaci. Ve zprávě např. uvádí: Naše práce odhaluje interní API, používané klientem Dropboxu a umožňuje tak třeba napsání open source portable klienta. Také předvádíme jak lze obejít dvoufázovou autentifikaci a získat tak přístup k datům uživatelů.

Jejich práce prý ukazuje nové a obecné techniky reverzního inženýrství aplikací napsaných v Pythonu a neomezuje se tak jen na Dropbox. Scénář, kterým postupovali, zahrnuje různé techniky injekce kódu a tzv. monkey-patching k zachycení SSL dat DP klienta. Je to metoda rozšiřování či modifikace spuštěného kódu interpretovaných jazyků beze změny původního zdrojového kódu. V tomto případě konkrétní implementace dokázala upravit chování klienta Dropboxu, aniž by tento klient dokázal zjistit průnik do vlastního kódu nebo odesílaných dat. Tato technika je použitelná i v mnoha jiných komerčních aplikacích.

Experti doufají, že tato práce pomůže k otevření platformy DP a komunita brzy vytvoří open source klienta. Jejich kompletní 7stránkovou zprávu naleznete zde.

Dropbox si jejich práce cení, jak uvedl mluvčí v rozhovoru pro Computerworld. Jak dále na obhajobu uvedl - v tomto případě je pro případné zneužití vyžadováno kompromitování a přístup k celému počítači oběti.