Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

10/08/2015

Vulnerabilitat d'accés il·legítim a Dropbox, Google Drive o OneDrive sense necessitat de la contrasenya

Investigadors d’Imperva han presentat en BlackHat l’atac "Man in the cloud" pel qual un atacant podria obtindre tots els arxius en servicis emmagatzemats en el núvol o infectar-los de forma transparent a l’usuari

Aprofitant una vulnerabilitat en el disseny del sistema de sincronització que oferixen distints servicis d’emmagatzematge en el núvol com ara Dropbox, Box, OneDrive o Google Drive, l'atacant podria accedir als arxius de l’usuari, afegir programari maliciós en el núvol de l’usuari o emprar el compte d’eixe usuari per a altres atacs. L’atacant fins i tot podria modificar la contrasenya i prendre el control absolut d'esta.

No cal cap tipus d’exploit per a explotar esta vulnerabilitat, tan sols aconseguir el token de contrasenya que residix en el dispositiu de l’usuari.

Sistemes Afectats:

Servicis en el núvol com ara Dropbox, Box, OneDrive o Google Drive.

Referències:

None

Solució:

De moment no hi ha solució, cal esperar que els fabricants emeten un pedaç que solucione este error i evitar tindre informació sensible en el núvol.

Notes:

Més informació:
Man in The Cloud Attacks
https://www.blackhat.com/us-15/sponsored-sessions.html#man-in-the-cloud-attacks
Man in the Cloud (MITC) Attacks
https://www.imperva.com/docs/imperva_Hacker_Intelligence_Initiative_No22_Jul2015_NEW_FINAL.pdf

CSIRT-CV