2013年9月2日 星期一

Dropbox否認開發人員展示的駭客入侵弱點

Dropbox否認開發人員展示的駭客入侵弱點

根據USENIX 2013安全大會上,2位開發人員的報告指出,他們破解了Dropbox安全機制,甚至從該公司伺服器上攔截到SSL資料,並成功避開該雲端儲存服務供應商的雙因素驗證機制


「這些技術極具通用性,我們深信將有助於未來軟體開發、測試與安全研發之用,」該報告摘要指出。

宣稱每日擁有超過1億名使用戶,上傳超過10億筆檔案的Dropbox表示,該安全研究,並無法具體呈現伺服器中真的存在安全漏洞。

「我們非常感謝這些研究人員,乃至所有維護Dropbox安全性協助者的種種貢獻,」該公司發言人在電子郵件中回覆指出:「在此所列舉出的案例狀況,前提是使用者電腦首先必須在整台電腦,而非只是Dropbox登出的情況下,才有可能遭到劫持,並招致全面性的攻擊。」

一位是OpenWall開源社群的Dhiru Kholia;另一位是CodePainters實驗室的Przemyslaw Wegrzyn,這2位開發人員表示,他們是以Python撰寫的應用軟體,來對Dropbox進行逆向工程的入侵研究。

「我們的工作揭露了Dropbox所採用的內部應用程式介面(API),透過它可以直接撰寫出可攜式開放原始碼Dropbox用戶端軟體,」該報告指出:「此外,我們並展示了如何避開Dropbox雙因素認證機制,乃至獲取使用者資料權限的做法。」

「該報告提出對已透過Python freeze工具程式所進行的凍結程序,能夠加以逆向工程的全新與通用技術,該技術不只限於Dropbox的領域中,」2位開發人員指出。

延伸閱讀:
開發人員逆向工程找到挾持Dropbox帳號的方法

資料來源:PCWorld
轉載自《網路資訊雜誌》