especialista em segurança Derek Newton, considera a utilização do popular serviço on-line Dropbox como um risco de segurança. O serviço armazena arquivos na web e permanentemente, sincroniza-os entre diferentes computadores. Isso é feito utilizando um software client para Windows, Linux e Mac OS e sistemas móveis como o IOS e Android.
O serviço de armazenamento online é muito popular também com os usuários corporativos. Ao examinar o cliente do Windows, Newton descobriu uma falha de segurança grave no serviço de movimentação da conta de acesso à dados no Dropbox. As credenciais só precisam ser inseridas uma única vez, durante a instalação. O processo de instalação gera um token de autenticação, o HOST_ID, que é posteriormente armazenado no arquivo config.db no diretório %APPDATA%\Dropbox em um disco rígido local.
Newton diz que o HOST_ID não está vinculado ao sistema que foi gerado e pode, portanto, ser transferido para qualquer outro sistema. Isso permite potencialmente que um trojan extraia o arquivo config.db, e obtenha acesso não autorizado a arquivos armazenados de um usuário Dropbox.
Tais acessos não registram-se como sistemas adicionais porque, aparentemente, quando o novo sistema não autorizado se conecta ao serviço Dropbox, o HOST_ID faz com que pareça ser o sistema original. Não há solicitação de credenciais e não há máquinas adicionadas à lista de sistemas que o Dropbox está sincronizando.
Alteração de senhas, a forma usual de impedir o acesso contínuo de usuários não deve funcionar, devido ao HOST_ID permanecer válida após a mudança. O HOST_ID pode ser revogado, indo para www.dropbox.com/account e selecionando "My Computers" e "Unlink" para qualquer sistema comprometido.
As Dimensões da Falha de Segurança
Newton acha que a falha de segurança é causada por uma falha de projeto no cliente Windows. Ainda não está claro se o software para outros sistemas operacionais também é afetada, mas isso parece possível, porque eles compartilham a mesma arquitetura.
Além disso, Newton recomenda que os usuários corporativos devem se abster de utilizar o Dropbox, por enquanto. O especialista aconselha que a criptografia forte deve ser utilizada para proteger dados confidenciais armazenados em um Dropbox, e que os usuários devem remover quaisquer sistemas antigos de sua lista de sistemas de autorizados, e que cuidados devem ser tomados para evitar possíveis intrusos de acessar o arquivo config.db.
Em uma discussão em fóruns Dropbox, o CTO da empresa, Arash Ferdowsi, disse que não concorda com a avaliação de Newton sobre a questão. Ele ressalta que, se alguém teve acesso ao sistema, seja fisicamente ou por meio de um vírus ou trojan, "a batalha da segurança acabou" e que os dados de todo o sistema são vulneráveis.
Ferdowsi diz que a empresa vai "pensar com cuidado sobre as melhorias de segurança possíveis" a serem implementadas no cliente Dropbox, e irá apresentá-las em versões mais recentes do serviço. Ele menciona mais símbolos complexos, melhorias no arquivo e permissões obscuras de melhoria do local onde a identificação é realizada. Uma opção Dropbox deve considerar a geração de HOST_ID token com base em um identificador ligado ao sistema físico.
Links de Interesse:
- Newton Derek
- Security issue found in Dropbox client
http://under-linux.org/problemas-de-seguranca-no-cliente-dropbox-2632/