Al pari di molti altri servizi online anche Dropbox mette a disposizione dei suoi utilizzatori un sistema di autenticazione a due fattori basato, appunto, sull’utilizzo non solo di un username e di una password ma anche di un ulteriore livello di autenticazione solitamente corrispondente ad un codice inviato tramite SMS o fornito mediante una chiamata al proprio numero di cellulare.
Nel corso delle ultime ore è stata però diffusa la notizia che il team di Q-CERT ha scoperto una vulnerabilità grazie alla quale è possibile bypassare il sistema di sicurezza a due passaggi di Dropbox sfruttando l’assenza di controllo sulla validità dell’indirizzo di posta elettronica.
Detta in altri termini per “farla franca” basta effettuare il login utilizzando un account simile a quello dell’utente che si intende attaccare.
Dropbox, infatti, non controlla l’autenticità dell’indirizzo di posta elettronica durante il processo di registrazione ragion per cui è sufficiente aggiungere un punto all’email per aggirare il sistema di autenticazione a due passaggi. Ad esempio se l’indirizzo email relativo ad uno specifico account Dropbox è facciamounaprova@gmail.com si potrà quindi digitare facciamouna.prova@gmail.com.
Per l’account email in questione viene generato un codice di emergenza da utilizzare qualora l’utente perda il cellulare su cui solitamente viene inviato, tramite SMS, il codice per la doppia autenticazione.
Considerando che Dropbox non fa alcuna differenza tra, come da esempio, facciamounaprova@gmail.com e facciamouna.prova@gmail.com il codice funzionerà anche sull’account vittima.
Un malintenzionato che riesce ad ottenere le credenziali di accesso potrebbe dunque disattivare l’autenticazione a due fattori sfruttando il codice di emergenza.
Naturalmente il team di Dropbox è stato immediatamente avvertito del problema ed ha già provveduto a risolvere il bug. La vulnerabilità, però, è risultata attiva sino alla scorsa settimana.
Via | The Hacker News
Ci sono degli errori in quello che si dice, in quanto anche gmail non fa distinzioni tra gli indirizzi citati, non vedo dunque come possa funzionare il metodo citato? almeno con la posta di gmail
vedi:
http://www.brainessence.it/index.php?id=168