Nel corso degli ultimi giorni il team di Dropbox ha fatto sapere di aver effettuato la correzione di una vulnerabilità che poteva permettere a siti web di terze parti di accedere ai dati degli utenti.
La squadra alle spalle del celebre servizio di cloud storage aveva infatti scoperto una falla nella funzionalità shared link dello stesso, quella grazie alla quale gli utenti possono condividere file e cartelle, che un eventuale malintenzionato avrebbe potuto sfruttare per compiere azioni decisamente poco raccomandabili.
Nel dettaglio, quando l’utente clicca su un link il browser invia la richiesta al server di destinazione inserendo nell’header HTTP l’indirizzo del sito di partenza. Questi referer header sono stati progettati per permettere ad un sito di registrare le sorgenti del traffico web. Gli shared link di Dropbox sono utilizzati per inviare i collegamenti ai documenti ad altre persone, comprese quelle che non sono registrare al servizio. Se tali documenti contengono un link sino a qualche giorno fa era possibile divulgare inavvertitamente il loro contenuto a destinatari sconosciuti nelle seguenti quattro modalità:
- Un utente condivide un link ad un documento che contiene un link ad un sito di terze parti.
- Il destinatario autorizzato clicca sul link nel documento.
- Il referer header comunica il link condiviso al sito di terze parti.
- Qualcuno che può leggere il referer header può accedere al link al documento condiviso.
Il bug, comunque, è stato risolto e d’ora in avanti tutti i link creati saranno al sicuro anche se allo stato attuale delle cose Dropbox non ha ancora provveduto a comunicare se sia stato sfruttato o meno da qualche malintenzionato.
È poi opportuno sottolineare che, così come fatto notare dall’esperto di sicurezza Graham Cluley, anche se la vulnerabilità è stata risolta l’accesso ai documenti riservati continua ad essere possibile in un altro modo: se il destinatario inserisce per errore il link su Google il server dell’inserzionista pubblicitario riceverà lo shared link se l’utente clicca sul banner mostrato nella pagina dei risultati.
Via | The Next Web