Учёные доказали, что Dropbox можно взломать

Программисты Диру Холиа (Dhiru Kholia) из Openwall и Пшемыслав Венгжин (Przemysław Węgrzyn) из CodePainters в ходе ежегодной конференции USENIX 2013, которая в данный момент проходит в Сан Хосе, США, продемонстрировали действенный способ взлома Dropbox.
 
После взлома облачного хранилища данных Dropbox, который имел место в 2012 году, в системе была усовершенствована защита: администрация добавила шифрование и инструменты двухфакторной аутентификации, которые усложняют процесс входа в учётную запись.

Тем не менее, эксперты нашли новый способ взлома. В отчёте о проведённом исследовании программисты описали методы для обхода аутентификации Dropbox и кражи учётных записей и персональных данных пользователей.

Кроме того, опубликованы базовые принципы перехвата данных из Dropbox с применением техник “инъекции” кода и “партизанских” патчей.

Dropbox опять взломан, пока что, только учёными

Любопытно, что в ходе исследования программисты использовали принцип обратной разработки клиента Dropbox.

Как известно, платформа Dropbox создана на закрытом исходном коде, и ранее попытки обратной разработки подобных приложений на Python не были успешными. Но, на этот раз “бастион” пал.

Исследователи подробно разобрали процессы регистрации, логина и функции запуска web-сайта Dropbox, выяснили, как обходить двухфакторную аутентификацию и перехватывать SSL-трафик с серверов Dropbox.

И, наконец, они создали open-source Dropbox клиент, состоящий из модифицированного интерпретатора Python.

Читайте также:

Руйнівні сили вимагають сміливих рішень: прогноз Forrester на 2022 рік

12 функцій Dropbox про які ви скоріше за все не знали

Найважливіші тренди інформаційних технологій у 2021 році

П’ять мов програмування, які ще довго будуть з нами