安全专家通过设计攻击发现:托管在云存储提供商Dropbox上的文件易被未经授权地访问。但是提供商已经堵住了这些漏洞。
Dropbox也可被用于秘密存储文档,这些文档可从被黑客控制的任一Dropbox账户进行检索。
出席UNIX用户协会安全讨论会的安全专家声称:他们在去年就已发现此漏洞利用,只是在正式公开前给了Dropbox时间以修正。
第一种攻击中,他们成功欺骗了本应辨认存储在Dropbox云中成堆数据的哈希值。Dropbox通过检查这些值,查看数据是否已经存储在云中。如果是,就将它们与发送哈希的用户帐户联系起来。
来自澳洲SBA研究公司的研究员说道:通过欺骗哈希值,他们能让Dropbox赋予接入其他用户数据任意内容的权限。因为未经授权的访问是从云端被赋予,文件被散播的用户根本不知道正在发生什么。
第二种攻击中,要求窃取受害人的Dropbox的主机ID,这是通过使用客户具体因素(比如用户名,时间,日期)的Dropbox产生的128位密钥。一旦攻击者获得了受害人的主机ID,他就能用自己的ID去替换。等攻击者再次同步其账户,所有受害人的文件都可被其下载。
第三种攻击中,利用了Dropbox允许用户在特定网址通过SSL请求文件块的功能。需要的只是所有块与任何有效主机ID的哈希值。
因为被请求文件与请求文件的账户之间不匹配,第三种攻击可被Dropbox侦测到。
这三种攻击可用于盗取使用Dropbox的公司的数据。这并非要将整个数据偷窃出企业网络,所有的攻击者要偷窃的只是想要数据的哈希值。哈希可以在任意地点被提交给Dropbox以下载实际的数据。
攻击本能被用于将数据隐藏在Dropbox云内。无限的成块数据能通过修改的Dropbox客户端被上传到云上,而不必与攻击者的账户相联系。为了检索出数据,攻击者可以发送一哈希的数据到Dropbox中,仿佛他们就打算上传一样。由于带有匹配哈希的成块数据已经在云中了,Dropbox就会将这些数据块与发送哈希的账户相联系。被攻击者控制的任意账户都可获取这些数据。
数据盗窃的隐蔽性在于攻击者会从没有硬盘的电脑从一张Linux live CD上上传文件,这样就会让法庭专家在电脑上找不到任何线索。