Due specialisti in sicurezza che già in passato avevano mostrato alcune vulnerabilità di Dropbox hanno decompilato e analizzato il codice dei client software per il collegamento al noto servizio e sono riusciti a sviluppare un nuovo tipo di attacco.
La tecnica ha permesso loro di recuperare due identificatori normalmente specifici per ogni dispositivo collegato agli account Dropbox, sfruttando i quali è possibile recuperare qualsiasi file da un account e connettersi alla versione web del servizio, senza bisogno di conoscere la password utilizzata dall’utente. Nonostante l’utilizzo del protocollo SSL, i due ricercatori sono stati in grado di iniettare codice nel sistema, accedere a pacchetti non cifrati e scrivere un client open source per l’accesso a Dropbox.
L’impatto dell’hack è minore poiché è possibile sfruttarlo solo per rubare la combinazione di un particolare dispositivo e non accedere a qualsiasi account ma dimostra ancora una volta come tanti meccanismi di sicurezza non siano in realtà infallibili e che chi ha la necessità di gestire dati importanti e riservati fa bene a pensarci due volte prima di affidarli al cloud (il rischio può ad ogni modo essere ridotto, cifrando i dati a monte).
