Hackers slaan gaten in Dropbox [ONDERZOEK]

Door: | 20 augustus 2013 09:08

Apps & Software

Security-onderzoekers hebben clouddienst Dropbox doorgelicht en er gaten in gevonden. Online opgeslagen bestanden zijn toegankelijk, en een zogeheten "open source-client" is nu mogelijk.

"Dropbox is een cloudgebaseerde dienst voor bestandsopslag die wordt gebruikt door meer dan 100 miljoen gebruikers. Ondanks de wijdverbreide populariteit menen wij dat Dropbox als platform niet uitgebreid genoeg is geanalyseerd vanuit een veiligheids-oogpunt", introduceren onderzoekers Dhiru Kholia en Przemysław Węgrzyn hun presentatie op de Usenix-conferentie.

Onderzoeken, kraken, melden, fixen en doorgaan

De twee hackers hebben de beveiliging van cloud-opslagdienst Dropbox aan de tand gevoeld en zijn er uiteindelijk doorheen gebroken. De clientapplicatie voor Windows en Linux is "reverse-engineered" en vervolgens ontsleuteld. De twee-factor authenticatie van Dropbox blijkt niet consequent geïmplementeerd en valt daardoor te omzeilen. Dit geeft de hackers toegang tot Dropbox-bestanden en maakt het mogelijk accounts te kapen.

Ook is het hierdoor mogelijk om een open source-client te maken voor de clouddienst. Dat hebben Kholia en Węgrzyn dan ook gedaan. Naast het houden van hun Usenix-presentatie, met live demonstratie, hebben zij hun zelfgemaakte client vrijgegeven.

Gedurende het onderzoek is Dropbox geïnformeerd over het kraakwerk, waarna de ontdekte kwetsbaarheden deels zijn gedicht. Op de todo-lijst van de twee onderzoekers staat dan ook het vinden van alternatieven voor de 'tray_login'-methode "aangezien die binnenkort gepatched wordt", schrijven zij zelf. Dropbox' tray-icoon kan 'automagisch' en zonder twee-factor authenticatie inloggen, wat de onderzoekers hebben gebruikt om inlogs te onderscheppen.

Eerdere beveiligingsonderzoeken naar Dropbox zijn flink gecensureerd, merken de onderzoekers op. Zij hebben dus voorgaand hackwerk overgedaan én voortgezet. Hun bevindingen hebben ze opgeschreven in de publiekelijk vrijgegeven whitepaper Looking inside the (Drop) box (PDF).

Achterlopende versies

"We hebben Dropbox-versies van 1.1.x tot 2.2.8 (de meest recent op 1 juli 2013) geanalyseerd." Sindsdien zijn er weer nieuwere versies uitgebracht. Dat zijn stabiele releases, maar hebben hebben de status van zogeheten forum builds, bedoeld voor developers.

De officiële aan eindgebruikers aangeboden download is op dit moment versie 2.0.26, die op 5 mei is uitgekomen. Eindgebruikers die een oudere versie, zoals bijvoorbeeld 2.0.22 gebruiken, krijgen niet automatisch een melding of installatie van de update voorgeschoteld.

Bron: WebWereld.