Op deze website gebruiken we cookies om content en advertenties te personaliseren, om functies voor social media te bieden en om ons websiteverkeer te analyseren. Ook delen we informatie over uw gebruik van onze site met onze partners voor social media, adverteren en analyse. Deze partners kunnen deze gegevens combineren met andere informatie die u aan ze heeft verstrekt of die ze hebben verzameld op basis van uw gebruik van hun services. Meer informatie.

Akkoord

Hackers slaan gaten in Dropbox [ONDERZOEK]

Door: Jasper Bakker | 20 augustus 2013 09:22

None
Apps & Software

Security-onderzoekers hebben clouddienst Dropbox doorgelicht en er gaten in gevonden. Online opgeslagen bestanden zijn toegankelijk, en een zogeheten "open source-client" is nu mogelijk.

"Dropbox is een cloudgebaseerde dienst voor bestandsopslag die wordt gebruikt door meer dan 100 miljoen gebruikers. Ondanks de wijdverbreide populariteit menen wij dat Dropbox als platform niet uitgebreid genoeg is geanalyseerd vanuit een veiligheids-oogpunt", introduceren onderzoekers Dhiru Kholia en Przemysław Węgrzyn hun presentatie op de Usenix-conferentie.

Onderzoeken, kraken, melden, fixen en doorgaan

De twee hackers hebben de beveiliging van cloud-opslagdienst Dropbox aan de tand gevoeld en zijn er uiteindelijk doorheen gebroken. De clientapplicatie voor Windows en Linux is "reverse-engineered" en vervolgens ontsleuteld. De twee-factor authenticatie van Dropbox blijkt niet consequent geïmplementeerd en valt daardoor te omzeilen. Dit geeft de hackers toegang tot Dropbox-bestanden en maakt het mogelijk accounts te kapen.

Ook is het hierdoor mogelijk om een open source-client te maken voor de clouddienst. Dat hebben Kholia en Węgrzyn dan ook gedaan. Naast het houden van hun Usenix-presentatie, met live demonstratie, hebben zij hun zelfgemaakte client vrijgegeven.

Gedurende het onderzoek is Dropbox geïnformeerd over het kraakwerk, waarna de ontdekte kwetsbaarheden deels zijn gedicht. Op de todo-lijst van de twee onderzoekers staat dan ook het vinden van alternatieven voor de 'tray_login'-methode "aangezien die binnenkort gepatched wordt", schrijven zij zelf. Dropbox' tray-icoon kan 'automagisch' en zonder twee-factor authenticatie inloggen, wat de onderzoekers hebben gebruikt om inlogs te onderscheppen.

Eerdere beveiligingsonderzoeken naar Dropbox zijn flink gecensureerd, merken de onderzoekers op. Zij hebben dus voorgaand hackwerk overgedaan én voortgezet. Hun bevindingen hebben ze opgeschreven in de publiekelijk vrijgegeven whitepaper Looking inside the (Drop) box (PDF).

Achterlopende versies

"We hebben Dropbox-versies van 1.1.x tot 2.2.8 (de meest recent op 1 juli 2013) geanalyseerd." Sindsdien zijn er weer nieuwere versies uitgebracht. Dat zijn stabiele releases, maar hebben hebben de status van zogeheten forum builds, bedoeld voor developers.

De officiële aan eindgebruikers aangeboden download is op dit moment versie 2.0.26, die op 5 mei is uitgekomen. Eindgebruikers die een oudere versie, zoals bijvoorbeeld 2.0.22 gebruiken, krijgen niet automatisch een melding of installatie van de update voorgeschoteld.

Bron: WebWereld.

0 Reacties op: Hackers slaan gaten in Dropbox [ONDERZOEK]

  • Om te reageren moet je ingelogd zijn. Nog geen account? Registreer je dan en praat mee!
  • Er zijn nog geen reacties op dit artikel.

Wanneer je een reactie plaatst ga je akoord
met onze voorwaarden voor reacties.