DropBox è un noto servizio per l’hosting dei file e la sua popolarità ha evidentemente incuriosito qualche malintenzionato, poiché sono stati recentemente scoperte alcune sconcertanti vulnerabilità. Derek Newton, un esperto nel campo della sicurezza, ha verificato il sistema di sincronizzazione dei file e scoperto che le tracce dei meccanismi utilizzati per la connessione rimangono in chiaro e facilmente accessibili sui sistemi sfruttati per la connessione. In sostanza sfruttando alcune banali tecniche è possibile ottenere l’accesso ai file degli utenti, senza la preventiva loro autorizzazione. Il meccanismo sfruttato è semplice: è sufficiente copiare il Dropbox ID dal computer dell’utente, un file che teoricamente dovrebbe essere generato dall’utente su ogni computer sul quale s’installano i servizi DropBox, attivando l’accesso ai file ma che è accessibile da chiunque se si ha per qualche minuto sottomano il computer di un utente. Su Windows, il file si trova nella cartella “%APPDATA%Dropbox”: sembra che basti copiare questa cartella su un altro computer (nella stessa destinazione originaria) per ottenere l’accesso ai file con le credenziali dell’utente al quale sono stati rubati i dati. Si potrebbe obiettare che dando accesso al computer a estranei, non si tratti a quel punto di un vero e proprio problema di sicurezza, ma non è teoricamente difficile scrivere un malware specifico che abbia come target questa tipologia di utenti e vada alla caccia dei DropBox ID sui computer degli utenti. Su Mac OS X non sono state fatte prove, ma è probabile che il DropBox ID sia nascosto in chiaro in qualche cartella come sui PC e, dopo averlo individuato, il problema di sicurezza potrebbe presentarsi anche per gli utenti Mac. I consigli più semplici per chi usa questo servizio sono prima di tutto, ovviamente di non lasciare il proprio computer nelle mani di sconosciuti, di proteggerlo con una password all’avvio e, nei casi più importanti, proteggere l’accesso alla cartella Inizio mediante FileVault, il sistema di sicurezza che cifra file e cartelle su Mac OS X rendendole inaccessibili a terze parti (anche scollegando il disco e collegandolo a un altro Mac).
[A cura di Mauro Notarianni]