• Problemas de Segurança no Cliente Dropbox

    Publicado em 11-04-2011 14:07
    0 Comentários Comentários
    O especialista em segurança Derek Newton, considera a utilização do popular serviço on-line Dropbox como um risco de segurança. O serviço armazena arquivos na web e permanentemente, sincroniza-os entre diferentes computadores. Isso é feito utilizando um software client para Windows, Linux e Mac OS e sistemas móveis como o IOS e Android.

    O serviço de armazenamento online é muito popular também com os usuários corporativos. Ao examinar o cliente do Windows, Newton descobriu uma falha de segurança grave no serviço de movimentação da conta de acesso à dados no Dropbox. As credenciais só precisam ser inseridas uma única vez, durante a instalação. O processo de instalação gera um token de autenticação, o HOST_ID, que é posteriormente armazenado no arquivo config.db no diretório %APPDATA%\Dropbox em um disco rígido local.

    Newton diz que o HOST_ID não está vinculado ao sistema que foi gerado e pode, portanto, ser transferido para qualquer outro sistema. Isso permite potencialmente que um trojan extraia o arquivo config.db, e obtenha acesso não autorizado a arquivos armazenados de um usuário Dropbox.

    Tais acessos não registram-se como sistemas adicionais porque, aparentemente, quando o novo sistema não autorizado se conecta ao serviço Dropbox, o HOST_ID faz com que pareça ser o sistema original. Não há solicitação de credenciais e não há máquinas adicionadas à lista de sistemas que o Dropbox está sincronizando.

    Alteração de senhas, a forma usual de impedir o acesso contínuo de usuários não deve funcionar, devido ao HOST_ID permanecer válida após a mudança. O HOST_ID pode ser revogado, indo para www.dropbox.com/account e selecionando "My Computers" e "Unlink" para qualquer sistema comprometido.


    As Dimensões da Falha de Segurança


    Newton acha que a falha de segurança é causada por uma falha de projeto no cliente Windows. Ainda não está claro se o software para outros sistemas operacionais também é afetada, mas isso parece possível, porque eles compartilham a mesma arquitetura.

    Além disso, Newton recomenda que os usuários corporativos devem se abster de utilizar o Dropbox, por enquanto. O especialista aconselha que a criptografia forte deve ser utilizada para proteger dados confidenciais armazenados em um Dropbox, e que os usuários devem remover quaisquer sistemas antigos de sua lista de sistemas de autorizados, e que cuidados devem ser tomados para evitar possíveis intrusos de acessar o arquivo config.db.

    Em uma discussão em fóruns Dropbox, o CTO da empresa, Arash Ferdowsi, disse que não concorda com a avaliação de Newton sobre a questão. Ele ressalta que, se alguém teve acesso ao sistema, seja fisicamente ou por meio de um vírus ou trojan, "a batalha da segurança acabou" e que os dados de todo o sistema são vulneráveis.

    Ferdowsi diz que a empresa vai "pensar com cuidado sobre as melhorias de segurança possíveis" a serem implementadas no cliente Dropbox, e irá apresentá-las em versões mais recentes do serviço. Ele menciona mais símbolos complexos, melhorias no arquivo e permissões obscuras de melhoria do local onde a identificação é realizada. Uma opção Dropbox deve considerar a geração de HOST_ID token com base em um identificador ligado ao sistema físico.


    Links de Interesse:

    - Newton Derek
    - Security issue found in Dropbox client
    + Enviar Comentário