Recientemente Derek Newton ha publicado en su blog el descubrimiento de la posibilidad de que los credenciales de Dropbox de un equipo puedan ser utilizados en otras máquinas.
Dropbox almacena en una base de datos SQLite, a la cual se puede acceder con herramientas al alcance de cualquiera, varios valores que podrían ser utilizados para identificarse con el servidor de sincronización, como son el 'host_id' y el 'email'. Esta forma de almacenamiento de dichos datos no habría trascendido si además de la utilización del valor 'host_id' para la autenticación se necesitasen otros credenciales, o identificadores como pueden ser la MAC del equipo, nombre de la máquina, número de serie de la CPU... ; pero tras varias pruebas se descubrió que esto no es así. El único método de autenticación e identificación de la máquina es el envío del valor de 'host_id', hecho que permite que pueda ser utilizado en cualquier otro equipo diferente al que le ha extraída la información.
El conocer el identificador, además de permitir la sincronización y total acceso a los archivos, además, da acceso de forma automática al sitio web desde donde se gestiona la cuenta. Otro problema que se suma a que la identificación del equipo se realice únicamente con este identificador es que aunque el usuario de la cuenta cambie su contraseña, dicho identificador no sufrirá ningún cambio; siendo igualmente válido a pesar de dicho cambio. Este comportamiento puede generar un problema, ya que las credenciales que hubiesen caído en manos extrañas seguirían siendo efectivas hasta que el usuario legítimo elimine la asociación entre la cuenta y el equipo de donde haya sido extraído el 'host_id'.
Se han hecho públicas herramientas que permiten de forma totalmente automática obtener el archivo 'config.db' y la extracción de su contenido, además de facilitar la configuración en otras máquinas con los credenciales extraídos y el envío de los mismos a páginas web.
A pesar de que en el estudio inicial solo se haya hecho referencia al archivo 'config.db' y al funcionamiento de la aplicación en Windows, todos los sistemas de distintas plataformas que utilicen esta forma de funcionamiento son igual de susceptibles para poder extraer el identificador de la máquina en la que se encuentra instalado Dropbox.
Dropbox por su parte no considera que el problema sea tan grave, alegando que la persona que obtenga dicho fichero, deberá tener acceso físico a la máquina, y por lo tanto a todos los archivos que han sido compartidos.
Javier Rascón
jrascon@hispasec.com
jrascon@hispasec.com
Más información:
Dropbox authentication: insecure by design
http://dereknewton.com/2011/04/dropbox-authentication-static-host-ids/
Herramienta:
DropBox Cloner
http://marcoramilli.blogspot.com/2011/04/dropbox-cloner.html
