| +22 голоса |
|
На проходящей в Сан Хосе (США) ежегодной конференции USENIX 2013 был представлен способ обхода системы аутентификации Dropbox и получения доступа к персональным файлам пользователей.
Как известно, после прошлогоднего взлома Dropbox в системе была усовершенствована защита: добавлено шифрование и инструменты двухфакторной аутентификации, которая усложняет процесс входа в учетную запись. Но, как показали Диру Холиа (Dhiru Kholia) из Openwall и Пшемыслав Венгжин (Przemysław Węgrzyn) из CodePainters, эти технологии не сделали Dropbox неуязвимым. В своей работе они описали методы для обхода аутентификации Dropbox и кражи Dropbox-аккаунтов, а также базовые принципы перехвата данных с применением техник инъекции кода (code injection) и партизанских патчей (guerilla patching, monkey patching).
Исследование вызывает интерес еще и потому, что для обхода защиты использовалась технология обратной разработки (reverse engineering) клиента Dropbox. Как известно, Dropbox — проприетарная платформа с закрытым исходным кодом, и ранее попытки обратной разработки подобных приложений на Python не были успешными. В этот раз ученые подробно разобрали процессы регистрации, логина и функции запуска веб-сайта Dropbox, выяснили, как обходить двухфакторную аутентификацию, перехватывать SSL-трафик с серверов Dropbox. И, наконец, создали open-source Dropbox клиент, состоящий из модифицированного интерпретатора Python.
Как особо подчеркивают ученые, описанные ими техники можно использовать для обратной разработки других закрытых приложений на Python. А это означает, что в зоне риска находятся многие «облачные» сервисы.
Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365
| +22 голоса |
|
