Onderzoekers omzeilen twee-factor authenticatie Dropbox
De twee-factor authenticatie die de populaire opslagwebsite Dropbox gebruikt kan worden omzeild, zo hebben twee onderzoekers onlangs gedemonstreerd. Tijdens de zevende USENIX Workshop over Offensieve Technologieën (WOOT) gaven Dhiru Kholia, van de open source firewall Openwalll en de universiteit van British Columbia, en Przemys?aw Wegrzyn van CodePainters een demonstratie over de veiligheid van Dropbox.
Met meer dan 100 miljoen gebruikers is de website een populaire dienst voor het opslaan en uitwisselen van bestanden. Volgens de onderzoekers was de beveiliging van Dropbox als een platform, ondanks de populariteit, nooit goed geanalyseerd. Dat komt mede doordat het programma geen open source is.
Daarop ontwikkelden de onderzoekers verschillende technieken om de in Python geschreven applicatie te reverse engineeren. "Zodra je de broncode hebt gedecompileerd is het mogelijk om in detail te bekijken hoe Dropbox werkt." Ook beschreven ze een methode om de twee-factor authenticatie van Dropbox te omzeilen en zo Dropboxaccounts te kapen.
"We ontdekten dat de twee-factor authenticatie zoals Dropbox die gebruikt, alleen tegen ongeautoriseerde toegang tot de Dropbox website beschermt. De Dropbox interne client API ondersteunt het gebruik van twee-factor authenticatie niet! Dit houdt in dat het voldoende is om alleen de host_id waarde te bemachtigen om toegang tot de data van het slachtoffer te krijgen die hij in Dropbox heeft opgeslagen."
Monkey patching
Als laatste werden er generieke technieken beschreven om SSL-verkeer te onderscheppen, door het injecteren van code en het toepassen van "monkey patching". Dit is een techniek waarbij de code van een taal wordt uitgebreid of aangepast zonder het aanpassen van de originele broncode en waarmee het mogelijk is om SSL-data in een Dropbox client te onderscheppen.
Dropbox laat tegenover Computerworld weten dat de problemen die de onderzoekers aanstippen alleen zijn te misbruiken als de computer van de gebruiker al is gecompromitteerd. Daardoor zou niet alleen het Dropboxaccount van de gebruiker risico lopen, maar het gehele systeem. De video, audio, presentatie en het onderzoek zijn op de website van Usenix.org te vinden.
Of als de portable app wordt gebruikt in een internet cafe of zo.
Peter
En aangezien je prima een computer kunt "clonen" (in ieder geval vanuit het perspectief van de client software en de server) was het dus ook al bekend dat je, als je toegang tot iemands systeem hebt, je effectief toegang tot iemands dropbox kunt krijgen. Hier hoefde geeneens onderzoek voor verricht te worden, dat was gegeven dat het onder die voorwaarde al kon.
Uiteraard kan dit op den duur nog gehardened worden door (op de systemen waar dit beschikbaar is) de authenticatie van die machine via hardware protected private key systemen (bv TPM). Maar aangezien dat geen requirement is, is er compleet niets nieuws in dit "verhullende" feit.
Desalniettemin is het wel fijn dat onderzoekers eens een keer een proprietary dienst waar heel veel mensen op vertrouwen doorlichten. Maar tot nu toe is dus de bevinding dat de dienst zo veilig lijkt te zijn zoals men tot nu toe al kon verwachten dat deze was. Hulde voor Dropbox dat er niet grote verstopte gebreken in zitten.
Omdat een internet cafe beschikking heeft over een officieel gesigned ssl certificaat voor dropbox.com zodat ze een MitM kunnen doen? Niet echt iets waar een internet cafe beschikking over heeft. Mogelijk bepaalde overheden of andere "cybercriminelen"? Maar op dat moment is de 2-factor authenticatie sowieso niet de belemmering, je hebt gewoon 100% controle over iemands "sessie".
Omdat een internet cafe beschikking heeft over een officieel gesigned ssl certificaat voor dropbox.com zodat ze een MitM kunnen doen? Niet echt iets waar een internet cafe beschikking over heeft. Mogelijk bepaalde overheden of andere "cybercriminelen"? Maar op dat moment is de 2-factor authenticatie sowieso niet de belemmering, je hebt gewoon 100% controle over iemands "sessie".
Nee, omdat ze de benodigde informatie gewoon op die PC zelf kunnen achterhalen. Als de informatie achterhaalt kan worden als een crimineel jouw PC heeft overgenomen, kan de eigenaar van iedere willekeurige PC waar je de app op gebruikt, het ook.
Ik weet trouwens niet eens of de app het certificaat wel controleert. Ik weet dat sommige bank apps het niet eens doen. Waarom zou de Dropbox app beter werken dan een bank app?
Peter
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
