Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
10/08/2015
Aprofitant una vulnerabilitat en el disseny del sistema de sincronització que oferixen distints servicis d’emmagatzematge en el núvol com ara Dropbox, Box, OneDrive o Google Drive, l'atacant podria accedir als arxius de l’usuari, afegir programari maliciós en el núvol de l’usuari o emprar el compte d’eixe usuari per a altres atacs. L’atacant fins i tot podria modificar la contrasenya i prendre el control absolut d'esta.
No cal cap tipus d’exploit per a explotar esta vulnerabilitat, tan sols aconseguir el token de contrasenya que residix en el dispositiu de l’usuari.
Sistemes Afectats:Servicis en el núvol com ara Dropbox, Box, OneDrive o Google Drive.
Referències:None
Solució:De moment no hi ha solució, cal esperar que els fabricants emeten un pedaç que solucione este error i evitar tindre informació sensible en el núvol.
Notes:Més informació:
Man in The Cloud Attacks
https://www.blackhat.com/us-15/sponsored-sessions.html#man-in-the-cloud-attacks
Man in the Cloud (MITC) Attacks
https://www.imperva.com/docs/imperva_Hacker_Intelligence_Initiative_No22_Jul2015_NEW_FINAL.pdf