Ganhar uma HDTV LED de 40 polegadas Samsung com o Reg e HP!
Um casal de pesquisadores de segurança criaram espinhos tremores no mundo cloud, demonstrando que o código ofuscado o Dropbox pode ser de engenharia reversa, ao longo do caminho captura de dados SSL da nuvem do serviço e ignorando a autenticação de dois fatores usado para proteger os dados do usuário.
No entanto, como resulta do Usenix investigação do papel e foi confirmado pelo Dropbox, seu trabalho não cria um vetor de ataque genérico. Os ataques só funcionam se o atacante já tem acesso irrestrito a máquina de destino.
Como Dropbox coloca: "No caso descrito aqui, o computador do usuário primeiro precisa ter sido comprometida de tal forma que iria deixar o computador inteiro, não apenas Dropbox do usuário, aberto a ataques em toda a linha." (Mais sobre isso em um minuto.)
Talvez o aspecto mais interessante da obra por do Openwall dhiro Kholia e CodePainters 'Przemyslaw Wegrzyn é que eles foram capazes de fazer engenharia reversa do código Python Dropbox fortemente protegidos.
"Nosso trabalho revela a API interna usada pelo cliente Dropbox e torna mais simples para escrever um cliente Dropbox open-source portátil", escrevem eles. Como resultado, eles dizem, deve ser possível para os pesquisadores a submeter Dropbox para análise de segurança mais rigoroso.
Os pesquisadores também observam que a autenticação de dois fatores do Dropbox, usado para acessar seu site, não é compatível com o software cliente. "Isto implica que não é suficiente para produzir apenas o valor host_id para obter acesso a dados do alvo armazenados no Dropbox."
No entanto, o valor host_id é armazenada no computador local numa base de dados criptografada SQLite - o que significa que só pode ser recuperado por alguém com acesso a essa máquina. ®
Nenhum comentário:
Postar um comentário