« Buona notizia per gli operatori non dominanti | Principale | Dossier del Senato sulla Banda Larga « Agenda Digitale »

28/04/2011

SicuraMente: Piccoli problemi di autenticazione in Dropbox

SicuraMente: Piccoli problemi di autenticazione in Dropbox.
Ha creato un certo rumore l'analisi svolta da Derek Newton sul meccanismo di autenticazione di Dropbox. A quanto pare, al momento della registrazione di un nuovo device viene creato un token, l'host_id, che viene poi utilizzato come credenziale per gli accessi successivi. Newton ha rilevato che questo token non è effettivamente legato al device, e se viene utilizzato da un device diverso, ad esempio quello di un malintenzionato, Dropbox non segnala nessuna anomalia, né la presenza di un nuovo device. Questo vuole dire che se il device legittimo viene compromesso e il token viene sottratto, il malintenzionato potrà poi avere accesso in modo trasparente ai file su Dropbox ahnche dopo che il device sarà stato ripulito e, a quanto pare, anche se la password su Dropbox viene cambiata. L'unico modo per invalidare l'host_id compromesso sembra essere annullare la registrazione del device e poi eventualmente registrarlo nuovamente. È bene precisare che per sfruttare questa vulnerabilità, il malintenzionato deve prima aver avuto accesso al device legittimo, in modo da ottenere l'host_id, e quindi il problema sembra molto limitato.

Scritto alle 20:03 |

|

Commenti

Giovanni Bajo

La feature che Dropbox non vuole perdere è di essere always-on, cioè di non richiedere password ogni volta all'avvio del computer. Per farlo, l'unico modo è memorizzare la password. A quel punto, invece che memorizzare la password scelta dall'utente (che magari è la stessa della sua casella di posta, ecc.), meglio creare una password random automaticamente per ogni dispositivo, in modo che è anche più facile da revocare. Questo procedimento viene poi markettizzato a livello di UI come "autorizzare/deautorizzare il dispositivo".

Google fa lo stesso se attivi la two-factor authentication quando vuoi fare accedere un dispositivo che non la supporta (es: un client IMAP a GMail). In quel caso, ti genera una password random di 16 caratteri che salvi nel client, e poi se hai problemi la revochi.

IMO: molto rumore per nulla.

Scritto da: Giovanni Bajo | 28/04/2011 a 20:29

I commenti per questa nota sono chiusi.