El equipo de Q-CERT (CERT de Qatar) ha publicado una vulnerabilidad que permitía saltar la autenticación en 2 pasos de Dropbox, lo que posibilitaba a un atacante tener el control de los ficheros de la víctima.
Dropbox es un servicio en Internet que permite a los usuarios registrados el almacenamiento en la nube de archivos.
La autenticación en 2 pasos (Two-Factor Authentication, 2FA) es una capa de seguridad en la autenticación en la que se requiere algo más que un usuario y contraseña para acceder al servicio. Generalmente suele tratarse de un código adicional, generado en el momento de la autenticación, que es recibido por el usuario a través de SMS o una llamada en un terminal móvil.
El investigador Zoutheir Abdallah ha demostrado que si un atacante conoce el usuario y contraseña de la víctima, la autenticación en 2 pasos puede ser eludida. El error es debido a que Dropbox no verifica correctamente la dirección de correo electrónico del usuario que se está autenticando.
Para aprovechar el error se debe crear una cuenta similar a la de la víctima que contenga un punto (.) en cualquier sitio del nombre de la cuenta, por ejemplo, si se quiere atacar al usuario victima@servidor.com, bastará con crear la cuenta victi.ma@servidor.com.
A continuación se debe de activar la autenticación en 2 pasos en la cuenta fraudulenta y guardar el código de seguridad que genera el servicio. Dicho código nos permite acceder a la cuenta en el caso de haber perdido el teléfono.
http://2.bp.blogspot.com/-OxSPtl5auAU/Udw1LwmAcoI/AAAAAAAACrA/nZFne2jVT-A/s1600/Dropbox_Auth1.jpg
Como último paso, el atacante, deberá autenticarse con la cuenta real de la víctima, y en el momento de recibir el código en el dispositivo móvil, se deberá indicar al servicio que hemos perdido el dispositivo y que queremos ingresar el código de seguridad, código que fue generado en el momento de la creación de la cuenta fraudulenta y que sería también válido para la cuenta de la víctima.
http://2.bp.blogspot.com/-PhYcCmKp5T0/Udw1Z0ElE-I/AAAAAAAACrI/CzKQns_r_O8/s1600/Dropbox_Auth2.jpg
Q-CERT ha trabajado con Dropbox para resolver el incidente y actualmente se encuentra corregido.
Fuente
Dropbox es un servicio en Internet que permite a los usuarios registrados el almacenamiento en la nube de archivos.
La autenticación en 2 pasos (Two-Factor Authentication, 2FA) es una capa de seguridad en la autenticación en la que se requiere algo más que un usuario y contraseña para acceder al servicio. Generalmente suele tratarse de un código adicional, generado en el momento de la autenticación, que es recibido por el usuario a través de SMS o una llamada en un terminal móvil.
El investigador Zoutheir Abdallah ha demostrado que si un atacante conoce el usuario y contraseña de la víctima, la autenticación en 2 pasos puede ser eludida. El error es debido a que Dropbox no verifica correctamente la dirección de correo electrónico del usuario que se está autenticando.
Para aprovechar el error se debe crear una cuenta similar a la de la víctima que contenga un punto (.) en cualquier sitio del nombre de la cuenta, por ejemplo, si se quiere atacar al usuario victima@servidor.com, bastará con crear la cuenta victi.ma@servidor.com.
A continuación se debe de activar la autenticación en 2 pasos en la cuenta fraudulenta y guardar el código de seguridad que genera el servicio. Dicho código nos permite acceder a la cuenta en el caso de haber perdido el teléfono.
http://2.bp.blogspot.com/-OxSPtl5auAU/Udw1LwmAcoI/AAAAAAAACrA/nZFne2jVT-A/s1600/Dropbox_Auth1.jpg
Como último paso, el atacante, deberá autenticarse con la cuenta real de la víctima, y en el momento de recibir el código en el dispositivo móvil, se deberá indicar al servicio que hemos perdido el dispositivo y que queremos ingresar el código de seguridad, código que fue generado en el momento de la creación de la cuenta fraudulenta y que sería también válido para la cuenta de la víctima.
http://2.bp.blogspot.com/-PhYcCmKp5T0/Udw1Z0ElE-I/AAAAAAAACrI/CzKQns_r_O8/s1600/Dropbox_Auth2.jpg
Q-CERT ha trabajado con Dropbox para resolver el incidente y actualmente se encuentra corregido.
Fuente