Geekissimo

Dropbox, corretta la falla degli shared link vulnerabili

 
Martina Oliva
9 Maggio 2014
0 commenti

Dropbox, corretta la falla degli shared link vulnerabili

Nel corso degli ultimi giorni il team di Dropbox ha fatto sapere di aver effettuato la correzione di una vulnerabilità che poteva permettere a siti web di terze parti di accedere ai dati degli utenti.

La squadra alle spalle del celebre servizio di cloud storage aveva infatti scoperto una falla nella funzionalità shared link dello stesso, quella grazie alla quale gli utenti possono condividere file e cartelle, che un eventuale malintenzionato avrebbe potuto sfruttare per compiere azioni decisamente poco raccomandabili.

Nel dettaglio, quando l’utente clicca su un link il browser invia la richiesta al server di destinazione inserendo nell’header HTTP l’indirizzo del sito di partenza. Questi referer header sono stati progettati per permettere ad un sito di registrare le sorgenti del traffico web. Gli shared link di Dropbox sono utilizzati per inviare i collegamenti ai documenti ad altre persone, comprese quelle che non sono registrare al servizio. Se tali documenti contengono un link sino a qualche giorno fa era possibile divulgare inavvertitamente il loro contenuto a destinatari sconosciuti nelle seguenti quattro modalità:

  • Un utente condivide un link ad un documento che contiene un link ad un sito di terze parti.
  • Il destinatario autorizzato clicca sul link nel documento.
  • Il referer header comunica il link condiviso al sito di terze parti.
  • Qualcuno che può leggere il referer header può accedere al link al documento condiviso.

Il bug, comunque, è stato risolto e d’ora in avanti tutti i link creati saranno al sicuro anche se allo stato attuale delle cose Dropbox non ha ancora provveduto a comunicare se sia stato sfruttato o meno da qualche malintenzionato.

È poi opportuno sottolineare che, così come fatto notare dall’esperto di sicurezza Graham Cluley, anche se la vulnerabilità è stata risolta l’accesso ai documenti riservati continua ad essere possibile in un altro modo: se il destinatario inserisce per errore il link su Google il server dell’inserzionista pubblicitario riceverà lo shared link se l’utente clicca sul banner mostrato nella pagina dei risultati.

Via | The Next Web

Potrebbe interessarti anche
Articoli Correlati
Dropbox, un bug causa la cancellazione di tutti i file

Dropbox, un bug causa la cancellazione di tutti i file

Coloro che si servono di Dropbox saranno tutt’altro che felici nell’apprendere che, così come reso noto dallo stesso team del celebre servizio di cloud storage, è stato individuato un bug nelle […]

Dropbox, scovato bug nel sistema di autenticazione in due passaggi

Dropbox, scovato bug nel sistema di autenticazione in due passaggi

Al pari di molti altri servizi online anche Dropbox mette a disposizione dei suoi utilizzatori un sistema di autenticazione a due fattori basato, appunto, sull’utilizzo non solo di un username […]

Google, 7 giorni per correggere i bug

Google, 7 giorni per correggere i bug

D’ora in avanti a seguito della scoperta di gravi vulnerabilità su software e servizi altrui Google attenderà soltanto 7 giorni prima di comunicare pubblicamente il tutto. I vendor avranno quindi […]

Le chiavette 3G e 4G possono mettere a rischio la sicurezza dell’OS

Le chiavette 3G e 4G possono mettere a rischio la sicurezza dell’OS

Nel software precaricato su quelle che sono le comunissime chiavette utilizzate a mò di modem per connettersi ad internet sono presenti numerose vulnerabilità che, a quanto pare, possono essere sfruttate […]

Grave vulnerabilità in WordPress 2.3.X: aggiornamento a WordPress 2.3.2 urgente

Grave vulnerabilità in WordPress 2.3.X: aggiornamento a WordPress 2.3.2 urgente

Grazie alla segnalazione di Nunzio, ho aggiornato immediatamente WordPress alla versione 2.3.2, perchè nelle versioni precedenti 2.3.X è presente una grave vulnerabilità che permette a chiunque di leggere interamente gli […]

Lista Commenti
Aggiungi il tuo commento

Fai Login oppure Iscriviti: è gratis e bastano pochi secondi.

Nome*
E-mail**
Sito Web
* richiesto
** richiesta, ma non sarà pubblicata
Commento