Vývojáři pronikli do DropBoxu a ukázali cestu k datům uživatelů

V rámci konference USENIXU 2013 byl uveřejněn článek dvou vývojářů zaměřený na techniky překonávající zabezpečení DropBoxu. Podle autorů jsou „tyto techniky poměrně obecné a věříme, že v budoucnosti pomohou vývoji softwaru, testování a dalšímu výzkumu problémů bezpečnosti.“

DropBox, který má dnes více než 100 milionů uživatelů, kteří nahrávání více než miliardu souborů denně, prohlašuje, že článek neukázal na žádnou konkrétní zranitelnost jeho serverů.

Podle mailu, který zaslal tiskový mluvčí společnosti redakci amerického Computerworldu: „Oceňujeme příspěvky výzkumníků a vůbec všech, kteří pomáhají udržovat DropBox bezpečným. V konkrétním případě, který byl uveřejněn, by muselo nejprve dojít k průniku do počítače uživatele tak, že by byl zneužitelný celý, nikoli pouze pro účet DropBoxu.“

Oba autoři textu, Dhiru Kholia, (z projektu Openwall) a Przemyslaw Wegrzyn (CodePainters) tvrdí, že se jim podařilo pomocí reverzního inženýrství získat zdrojový kód DropBoxu, jehož aplikace byla napsaná v jazyce Python. „Naše práce ukazuje interní API používaná klientem Dropboxu a umožňuje jednoduše napsat vlastní, přenositelnou verzi klienta. Dále předvádíme, jak lze obejít dvoufázové ověřování DropBoxu a jak získat přístup k datům uživatele. Jde o novou obecnou techniku, jak analyzovat aplikace napsané v Pythonu, která se neomezuje pouze na produkty DropBoxu.“

V publikovaném textu se dále detailně popisuje, jak byli autoři schopni rozbalit, rozšifrovat a dekompilovat DropBox. Samozřejmě, jakmile je k dispozici vlastní verze zdrojového kódu, lze dále studovat, jak aplikace funguje. Výsledkem je schopnost získávat data z tunelu SSL, kterým komunikuje klient DropBoxu, ale daná metoda byla úspěšně otestována i na dalších komerčních řešeních.

Použita byla takzvaná monkey-patch, což je metoda rozšiřování nebo modifikace spuštěného kódu interpretovaných jazyků beze změny původního zdrojového kódu. V tomto případě konkrétní implementace dokázala upravit chování klienta DropBoxu, aniž by tento klient dokázal zjistit průnik do vlastního kódu nebo odesílaných dat.

„Doufáme, že naše práce bude inspirovat komunitu věnující se bezpečnosti IT, aby napsala vlastního klienta pro službu DropBoxu, s otevřeným zdrojovým kódem, který by pomohl i vlastní platformě DropBoxu a jejím uživatelům. Doufáme, že na naši práci navážou další výzkumy i pro jiná cloudová úložiště.“