Dropbox, il client è potenzialmente insicuro e può essere "clonato"

Due ricercatori riescono a fare quello che era ritenuto impossibile: il reverse engineering del client di Dropbox. Potenzialmente hanno carta bianca su tutti i contenuti della piattaforma.

Ci sono brutte notizie per Dropbox, e anche per il senso di sicurezza dei suoi utenti. Una coppia di ricercatori, infatti, sono riusciti a comprendere il meccanismo del suo client, e non esitano a definirsi in grado di prendere completamente il controllo dell’account di una vittima.

Dhiru Kholia e Przemyslaw Wegrzyn hanno pubblicato la loro ricerca nella speranza di vedere Dropbox cambiare rotta per quanto concerne le politiche di sviluppo. Vanno subito al sodo:

“Descriveremo un metodo per aggirare l’autenticazione a due fattori del client di Dropbox e dirottare l’account di uno dei suoi utenti. In aggiunta, descriveremo anche tecniche generiche per intercettare dati SSL con tecniche di code injection e monkey patching”


Retroengineering: missione possibile



Il client di Dropbox è un interprete Python che fa girare altro code Python “offuscato”. Teoricamente non dovrebbe essere possibile “vedere” nulla del programma, ma i due ricercatori sono riusciti nel reverse engineering di questa struttura.

È la prima volta: le pessime notizie non sono solo per Dropbox ma per chiunque abbia usato Python per scrivere un software contando sulla sua capacità di offuscare la struttura del codice.

I due ricercatori hanno focalizzato l’attenzione sull’intercettazione del traffico SSL, sulla violazione del processo di autenticazione e secondariamente valutato la possibilità di creare un client open source per accedere al network di Dropbox.

Mentre stavano studiando le misure di sicurezza del sito sono arrivati a due conclusioni interessanti:

  • Dropbox viene aggiornato con costanza e c’è molto lavoro sulla sicurezza. Parecchi degli exploit che i due avevano inizialmente scoperto sono stati progressivamente bloccati.

  • Il client di Dropbox era "offuscato” proprio per tenere lontani i concorrenti e impedire il furto di codice proprietario, non per difendere gli utenti. La maggior parte del codice segreto da preservare è in realtà nella parte server di Dropbox. Creare un client offuscato con Python era quindi inutile e ha reso la piattaforma più vulnerabile. Secondo Dhiru e Przemyslaw un client che non perde tempo con misure anti-reverse engineering e una maggiore concentrazione sulla (maggiore) sicurezza della piattaforma online sono una soluzione più efficace.

  • Cosa succede ora?



    Per il momento Dropbox è nei guai. Con la pubblicazione di questa ricerca tutti coloro che hanno il know how possono rubare il suo codice proprietario e studiarlo. Python è un linguaggio facile da modificare e il lavoro di Dropbox potrebbe essere usato da altri e con altri scopi.

    Per finire - Chi ci assicura che Dhiru e Przemyslaw siano arrivati per primi?
    Via | TechRepublic

    • shares
    • +1
    • Mail