• Tweet

Los atacantes que fueran capaces de obtener acceso al archivo de configuración de Dropbox, lo serían también para acceder y descargar cualquier archivo que un usuario sincronice a través de este servicio sin percatarse del incidente, descubrió un investigador de seguridad.

Derek Newton descubrió que un token de autenticación, almacenado en un archivo de configuración del directorio Dropbox de una PC con Windows, permitía el acceso a una cuenta asociada con el servicio de sincronización de archivos – aún cuando el usuario cambiaba su contraseña. Dropbox permite la sincronización automática de archivos entre varias computadoras y dispositivos móviles. Este servicio trabaja en varias plataformas y dispositivos móviles. También ofrece una interfaz web para los datos almacenados a través de una cuenta; el cual es gratuito para los volúmenes de almacenamiento sincronizado de hasta 2GB.

El archivo de configuración de Windows puede ser extraído después de que un equipo sea comprometido por un troyano, el escenario de ataque más común. Si este archivo es robado, el archivo de configuración host_id puede ser utilizado por cualquier sistema y el problema sólo puede ser solucionado al ingresar a la cuenta y revocar esta credencial en vez de sólo cambiar la contraseña. Los usuarios no serán informados si una nueva computadora es agregada a la lista de sincronización.

Newton culpa a estas fallas al diseño de la versión de Dropbox de Windows, argumentando que es una debilidad de seguridad. No está claro si los tokens de autenticación de Dropbox en Linux, Mac OSX  o dispositivos móviles permiten ataques similares.

Arash Ferdowsi, gerente de tecnología de Dropbox, respondió a este análisis objetando que si un atacante logra insertar el troyano en una PC o comprometer al equipo, entonces todos los archivos en el sistema están en juego. Sin embargo, Ferdowsi dijo, que el diseño del cliente Dropbox puede ser mejorado con respecto a la investigación de Newton. Algunas Ideas incluyen asegurarse que los tokens de autenticación estén ligados a un sistema en particular en vez de ser portables, de acuerdo a lo reportado por H Security.