Het is lange tijd mogelijk geweest om ongemerkt bestanden te stelen vanaf Dropbox. Door tekortkomingen was de cloud opslagdienst kwetsbaar voor drie verschillende aanvallen. Daarmee was het mogelijk om andermans opslagruimte leeg te roven. Dat onthulden onderzoekers van het Oostenrijkse SBA Research op het USENIX Security Symposium.

Hashwaarde spoofen

Dropbox maakt voor ieder bestand een hashwaarde aan. Als een gebruiker die naar Dropbox verstuurt, controleert de server die waarde en koppelt zij het aan de juiste gebruiker. Met de eerste aanval die de onderzoekers in een presentatie toonden lukte het om zo'n hash te spoofen. Op die manier kregen de onderzoekers toegang tot willekeurige bestanden van andere gebruikers.

Het tweede lek dat de onderzoekers uit het Alpenland presenteerden was al langer bekend. Daarmee is het mogelijk om toegang tot een account te krijgen door het host id van een gebruiker te stelen. Dat id is niet gekoppeld aan een computer dus door het eigen id te verwisselen met die van een ander, zal een aanvaller bij de volgende synchronisatie alle bestanden van zijn slachtoffer kunnen zien. Dropbox denkt immers dat het om die gebruiker gaat.

Via webinterface

De laatste aanval dat SBA Research uit de doeken deed, loopt niet via de client maar via de webinterface van Dropbox. Gebruikers kunnen via een url namelijk ook bestanden opvragen. Daarvoor is wel de hashwaarde van het bestand en de host id nodig. Die laatste mag overigens willekeurig zijn en hoeft niet de host id te zijn van de gebruiker van wie het bestand is. Toch was het dan mogelijk om een bestand te downloaden.

De eerste twee aanvallen zijn volgens Dropbox moeilijk te detecteren omdat in feite het account gekaapt wordt. In het eerste geval merkt zelfs de eigenaar er niets van. De derde methode is wat moeilijker. Dropbox kan hier namelijk zien dat het opgevraagde bestand niet bij de host id hoort. Bij alle drie de methodes heeft een aanvaller overigens wel gegevens van het slachtoffer nodig. Deze zijn mogelijk met een trojan te verkrijgen.

Bestanden verstoppen

De Oostenrijkse onderzoekers wisten ook een manier te vinden om bestanden in de cloud van Dropbox te 'verstoppen'. Daarvoor gebruiken zij de feature van Dropbox waarbij bestanden ontdubbeld worden. Als iemand een bestand verstuurt en de hashwaarde daarvan bestaat al bij Dropbox, dan zal die niet nogmaals naar de server gaan. De gebruiker krijgt dan het al bestaande exemplaar in zijn account te zien.

Zo is het mogelijk om bestanden te uploaden zonder dat ze aan een account gekoppeld zijn. In eerste instantie plaatsen de aanvallers een bestand in de cloud. Om hem weer te downloaden doen zij alsof ze nogmaals een bestand met die hashwaarde willen uploaden. De server van Dropbox ziet dat deze waarde al bestaat en stuurt vervolgens het bestaande account naar de gebruiker. Door een bestand via een live cd te versturen vanaf een computer zonder harde schijf, blijven zo voor forensisch onderzoekers ook geen sporen achter.

Het Oostenrijkse beveiligingsbedrijf geeft in een rapport (pdf) aan dat zij vorig jaar al exploits voor de tekortkomingen in Dropbox hadden. Ze openbaarden die toen nog niet omdat zij Dropbox de kans gaven om de problemen te fiksen. Dat is inmiddels ook gebeurd.