Geekly Articles each Day

Dropboxは最初から脆弱ですか?

画像 過去数日間で、「Dropboxは安全ではありません」、「Dropboxに深刻な脆弱性が検出されました」などの見出しの記事がインターネットをサーフィンし始めました。 Dropboxユーザーとして、私は問題が何であるかを理解することにしました。 ロシア語の情報ソースは、通常そうであるように、「すべてがなくなった!!!!!!!!」の精神で大声で発言し、ソースへのリンクは悪い形と見なされると考えています。 カットの下で、私は物事が実際にどのようであるかを教えます。

だから、一週間前、 デレク・ニュートンは彼のブログでDropbox認証を書いた:設計安全ではない 。 録音は非常に膨大なので、著者の主な考えを簡単に伝えようと思います。

Windowsの場合(DerekはWindowsを使用しますが、説明されているものはすべてどこでも動作するはずです)Dropboxは設定、ファイル/ディレクトリのリスト、ハッシュなどを保存します。 複数のファイル、 SQLite形式。 これらのファイルは%APPDATA%\ Dropboxにあります。 ドロップボックスの設定に直接関連するメインデータベースconfig.dbを検討してください。 SQLiteファイルビューアで開くと、データベースには複数のフィールドを持つテーブル( config )が1つしかないことがわかります。 それらのうちの3つを検討してください。



ファイル(データの変更など)を試した後、Dropboxが承認にhost_id値のみを使用することが明らかになりました。 問題は、config.dbファイルが移植可能で、システムにまったく接続されていないことです。 このファイル(またはhost_id行のみ)にアクセスできる場合、Dropboxのウェブインターフェースを介してアカウントへのシステムの接続が削除されるまで、ファイルにフルアクセスできます。 config.dbファイルを別のシステムにコピーし( dropbox_pathを正しいものに変更する必要がある場合があります)、Dropboxを起動すると、ユーザーに通知せずに、新しいシステムをWebインターフェイスの信頼できるシステムのリストに追加することなく、新しいシステムをすぐにアカウントと同期します(新しいシステムの名前が異なる場合でも) ) さらに、host_idは、ユーザーがパスワードを変更した後でも有効です。

さらに、Derekは論理的にconfig.dbファイルへのアクセスがあるため、ドロップボックスファイルへの直接アクセスがある可能性が高いと指摘しています。これは、これはそれほど深刻な脆弱性ではないことを意味します。 それは大丈夫ですが、かなり良い見通しが攻撃者に開かれています:



Derekは3つのセキュリティオプションを提供していますが、これらはかなり明白です。

  1. Dropboxを使用しないでください。 これはもちろん最も簡単ですが、最も受け入れられる方法ではありません。
  2. データを保護する:Dropboxに保存されている重要なファイルに暗号化を使用し、それらへのアクセスキーを秘密にします(たとえば、Dropboxフォルダーまたは同じシステムに保存するのは愚かなことです)
  3. 承認されたデバイスのリストを追跡し、使用する予定のないデバイスを削除するのを怠らないでください。また、Dropboxウェブインターフェースの[マイコンピュータ]リストの[最後のアクティビティ]フィールドにも注意してください。 あるべきではないときにファイルへのアクセスがあった場合は、信頼できるシステムからこのシステムを直ちに削除してください。

Source: https://habr.com/ru/post/J117465/

More articles:


All Articles