安全专家最近发布了一个安全通报,该通报向中明示了他们是如何绕过基于云存储的DROPBOX的安全特性从而最终获得存取用户私人文件的过程。
Openwall的Dhiru Kholia和CodePainters的Przemysław Wegrzyn这样说道:虽然该网站有超过100万的用户在使用,可其在安全性至始至终就没有得到过评估分析。
他们说,他们有个目标就是想要dropbox成为一个开源系统,这样意味着我们每个人都可以去读它的代码,从中找安全问题来。(好想法啊!)
专家说,他们依然可以获得系统未授权的用户私人文件。事实上,在1年前他们黑过DROPBOX以后, DROPBOX也都加强过安全特性了。(这安全是咋做的?)
DROPBOX所做的安全体系其目的本身是冲着企业用户去的,这包括数据加密和双因素认证在里面,坑爹的是,还是被Kholia和Wegrzyn绕过去了。
他们是如何做到的呢?起初,他们反编译了DROPBOX在用户客户端的软件,该软件是PYTHON写的。 尽管DROPBOX已经想方设法防止PYTHON被逆向。
从商业角度上来考虑,这就意味着需要玩python的云服务的,同时也有过类似安全防护的服务商们,是否也会遭遇同样的安全风险?
专家研究还发现,DROPBOX使用双因素认证仅仅是为了阻止对网站的未授权访问。“在DROPBOX的客户端里可以看出来,他们的客户端API是不支持双因素认证的。而仅仅是通过一个主机ID值来获得目标用户的存取空间的访问。
可就在此前,DROPBOX还发表过一个声明,说不相信会有人可以在客户端上面找到任何漏洞! (自己打耳光吧!)
Kholia和Wegrzyn希望大家都来帮助DROPBOX建立一个安全的系统,也希望DROPBOX可以接受开源的方式来加强安全。(可能吗,拭目以待吧)
[via techtarget]