Dropbox云——数据盗窃的天堂

安全 云安全
安全专家通过设计攻击发现:托管在云存储提供商Dropbox上的文件易被未经授权地访问。但是提供商已经堵住了这些漏洞。

安全专家通过设计攻击发现:托管在云存储提供商Dropbox上的文件易被未经授权地访问。但是提供商已经堵住了这些漏洞。

Dropbox也可被用于秘密存储文档,这些文档可从被黑客控制的任一Dropbox账户进行检索。

出席UNIX用户协会安全讨论会的安全专家声称:他们在去年就已发现此漏洞利用,只是在正式公开前给了Dropbox时间以修正。

第一种攻击中,他们成功欺骗了本应辨认存储在Dropbox云中成堆数据的哈希值。Dropbox通过检查这些值,查看数据是否已经存储在云中。如果是,就将它们与发送哈希的用户帐户联系起来。

来自澳洲SBA研究公司的研究员说道:通过欺骗哈希值,他们能让Dropbox赋予接入其他用户数据任意内容的权限。因为未经授权的访问是从云端被赋予,文件被散播的用户根本不知道正在发生什么。

第二种攻击中,要求窃取受害人的Dropbox的主机ID,这是通过使用客户具体因素(比如用户名,时间,日期)的Dropbox产生的128位密钥。一旦攻击者获得了受害人的主机ID,他就能用自己的ID去替换。等攻击者再次同步其账户,所有受害人的文件都可被其下载。

第三种攻击中,利用了Dropbox允许用户在特定网址通过SSL请求文件块的功能。需要的只是所有块与任何有效主机ID的哈希值。

因为被请求文件与请求文件的账户之间不匹配,第三种攻击可被Dropbox侦测到。

这三种攻击可用于盗取使用Dropbox的公司的数据。这并非要将整个数据偷窃出企业网络,所有的攻击者要偷窃的只是想要数据的哈希值。哈希可以在任意地点被提交给Dropbox以下载实际的数据。

攻击本能被用于将数据隐藏在Dropbox云内。无限的成块数据能通过修改的Dropbox客户端被上传到云上,而不必与攻击者的账户相联系。为了检索出数据,攻击者可以发送一哈希的数据到Dropbox中,仿佛他们就打算上传一样。由于带有匹配哈希的成块数据已经在云中了,Dropbox就会将这些数据块与发送哈希的账户相联系。被攻击者控制的任意账户都可获取这些数据。

数据盗窃的隐蔽性在于攻击者会从没有硬盘的电脑从一张Linux live CD上上传文件,这样就会让法庭专家在电脑上找不到任何线索。 

责任编辑:鸢玮 来源: 网界网
相关推荐

2011-07-28 09:29:54

虚拟化云计算

2010-09-13 09:28:40

云计算虚拟化

2012-09-28 16:21:26

2013-03-13 09:56:10

2010-09-02 10:09:30

2011-07-26 09:56:45

云存储赖霖枫Dropbox

2020-11-10 10:58:57

西部数据Dropbox云基础

2013-03-05 10:34:17

云服务用户数据苹果

2010-05-10 10:07:58

云计算Android

2015-08-10 17:03:25

2013-09-13 16:10:55

腾讯云开放平台

2013-03-18 09:41:35

Dropbox电邮云服务

2012-12-14 09:29:52

云服务DropboxAudiogalaxy

2014-10-15 13:50:24

2014-04-01 10:04:59

Dropbox

2012-02-23 11:09:41

2012-12-20 10:46:05

Dropbox收购Sn云存储

2013-01-11 09:44:11

云存储文件同步Dropbox

2014-02-25 10:05:05

云存储BoxDropbox

2021-12-15 06:11:03

Karakurt勒索黑客
点赞
收藏

51CTO技术栈公众号