Derek Newton ha publicado en su blog el descubrimiento de la posibilidad de que los credenciales de Dropbox de un equipo puedan ser utilizados en otras máquinas.
Dropbox es un conocido servicio de alojamiento de archivos en la nube que puede ser utilizado tanto en ordenadores de distintas plataformas, como en dispositivos móviles y permite la sincronización en diferentes máquinas de los archivos alojados, además de la compartición de los mismos.
Consecuencias del fallo de seguridad :
- El conocer el identificador, además de permitir la sincronización y total acceso a los archivos, además, da acceso de forma automática al sitio web desde donde se gestiona la cuenta.
- Otro problema que se suma a que la identificación del equipo se realice únicamente con este identificador es que aunque el usuario de la cuenta cambie su contraseña, dicho identificador no sufrirá ningún cambio; siendo igualmente válido a pesar de dicho cambio.
- Este comportamiento puede generar un problema, ya que las credenciales que hubiesen caído en manos extrañas seguirían siendo efectivas hasta que el usuario legítimo elimine la asociación entre la cuenta y el equipo de donde haya sido extraído el 'host_id'.
- Se han hecho públicas herramientas que permiten de forma totalmente automática obtener el archivo 'config.db' y la extracción de su contenido, además de facilitar la configuración en otras máquinas con los credenciales extraídos y el envío de los mismos a páginas web.
Plataformas afectadas:
- A pesar de que en el estudio inicial solo se haya hecho referencia al archivo 'config.db' y al funcionamiento de la aplicación en Windows, todos los sistemas de distintas plataformas que utilicen esta forma de funcionamiento son igual de susceptibles para poder extraer el identificador de la máquina en la que se encuentra instalado Dropbox.
Recomendaciones :
Dropbox por su parte no considera que el problema sea tan grave, alegando que la persona que obtenga dicho fichero, deberá tener acceso físico a la máquina, y por lo tanto a todos los archivos que han sido compartidos.
Más información en el sitio web :
http://dereknewton.com/2011/04/dropbox-authentication-static-host-ids/Fuente: Hispasec
