2013年8月30日 星期五

開發人員逆向工程找到挾持Dropbox帳號的方法

開發人員逆向工程找到挾持Dropbox帳號的方法

不過Dropbox聲明,駭客必須要先取得使用者的個人電腦才能夠挾持成功。外界分析則指出,此一研究成果最吸引人的部份應該是他們利用反向工程解析了被嚴密保護的Dropbox Python程式。


兩名開發人員Dhiru Kholia與Przemysław Wegrzyn在本月舉行的USENIX 2013會議上公布一份研究報告,指出他們找到一種可以繞過Dropbox雙因素認證並挾持Dropbox帳號的方法。

Dropbox為目前最受歡迎的雲端儲存服務之一,全球使用人數已突破1億。Kholia與Wegrzyn以一些新的與一般技術,針對Dropbox或其他業者所使用的Frozen Python程式進行逆向工程分析,而且只要利用程式碼注入(code injection)技術與monkey patch就能竊聽Dropbox客戶端的SSL資料。

該研究揭露了Dropbox客戶端所使用的內部API,並使其可用來撰寫可攜式的開放源碼Dropbox客戶端,然後設計了用來攻破Dropbox的外掛程式,並展示如何繞過雙因素認證以存取使用者的資料。

不過Dropbox聲明,依據該研究的描述,駭客必須要先取得使用者的個人電腦才能夠挾持成功。這種情況下使用者所有資料都有曝光的風險,不只是Dropbox。

外界分析指出,此一研究成果最吸引人的部份應該是他們利用反向工程解析了被嚴密保護的Dropbox Python程式。Kholia與Wegrzyn也說他們最大的貢獻是讓Dropbox平台更透明化以供後續的安全分析與研究。

延伸閱讀:
Dropbox否認開發人員展示的駭客入侵弱點

轉載自《iThome》