Dropbox es un conocido servicio de alojamiento de archivos en la nube
que puede ser utilizado tanto en ordenadores de distintas plataformas,
como en dispositivos móviles. Éste permite la sincronización en
diferentes máquinas de los archivos alojados, además de la compartición
de los mismos.
Recientemente Derek Newton ha publicado en su blog el descubrimiento de
la posibilidad de que los credenciales de Dropbox de un equipo puedan
ser utilizados en otras máquinas.
Dropbox almacena en una base de datos SQLite, a la cual se puede acceder
con herramientas al alcance de cualquiera, varios valores que podrían
ser utilizados para identificarse con el servidor de sincronización,
como son el ‘host_id’ y el ‘email’. Esta forma de almacenamiento de
dichos datos no habría trascendido si además de la utilización del valor
‘host_id’ para la autenticación se necesitasen otros credenciales, o
identificadores como pueden ser la MAC del equipo, nombre de la máquina,
número de serie de la CPU… ; pero tras varias pruebas se descubrió que
esto no es así. El único método de autenticación e identificación de la
máquina es el envío del valor de ‘host_id’, hecho que permite que pueda
ser utilizado en cualquier otro equipo diferente al que le ha extraída
la información.
El conocer el identificador, además de permitir la sincronización y
total acceso a los archivos, además, da acceso de forma automática al
sitio web desde donde se gestiona la cuenta. Otro problema que se suma
a que la identificación del equipo se realice únicamente con este
identificador es que aunque el usuario de la cuenta cambie su
contraseña, dicho identificador no sufrirá ningún cambio; siendo
igualmente válido a pesar de dicho cambio. Este comportamiento puede
generar un problema, ya que las credenciales que hubiesen caído en manos
extrañas seguirían siendo efectivas hasta que el usuario legítimo
elimine la asociación entre la cuenta y el equipo de donde haya sido
extraído el ‘host_id’.
Se han hecho públicas herramientas que permiten de forma totalmente
automática obtener el archivo ‘config.db’ y la extracción de su
contenido, además de facilitar la configuración en otras máquinas con
los credenciales extraídos y el envío de los mismos a páginas web.
A pesar de que en el estudio inicial solo se haya hecho referencia al
archivo ‘config.db’ y al funcionamiento de la aplicación en Windows,
todos los sistemas de distintas plataformas que utilicen esta forma de
funcionamiento son igual de susceptibles para poder extraer el
identificador de la máquina en la que se encuentra instalado Dropbox.
Dropbox por su parte no considera que el problema sea tan grave,
alegando que la persona que obtenga dicho fichero, deberá tener acceso
físico a la máquina, y por lo tanto a todos los archivos que han sido
compartidos.
Dropbox authentication: insecure by design
http://dereknewton.com/2011/
Via: Hispasec
