חוקרי אבטחה ביבמ ישראל חשפו פירצה חמורה בספריית דרופבוקס

שני חוקרים בצוות מחקר האבטחה העולמי X-Force של יבמ (יבמ), הפועל בישראל, גילו פרצת אבטחה חמורה בספריית דרופבוקס (Dropbox) לסביבת אנדרואיד (Android).

החוקרים, רועי חי ואור פלס, חשפו פירצה שמאפשרת לתוקפים לקשר את האפליקציה הנתקפת עם חשבון דרופבוקס שברשותם בכך להשיג גישה לקבצים רגישים השייכים למשתמש באפליקציה זו.

הספריה משמשת מפתחי אפליקציות להסדרת הגישה לקבצים הפרטיים של המשתמש, המאוחסנים בדרופבוקס. ניתן לנצל את הפירצה הן באמצעות אפליקציה זדונית והן בגישה מרחוק אל המכשיר על ידי גלישה תמימה. באמצעות הפירצה, יכולים התוקפים לגשת אל מספר אקראי ("Nonce") , בו נעזרת דרופבוקס כחלק מתהליך אימות זיהוי המשתמש.

לפני פרסומה הפומבי של הפירצה, עדכנו אנשי יבמ את האחראים בדרופבוקס ואלה מיהרו לשחרר טלאי אבטחה, ולסגור את הפירצה בתוך ארבעה ימים מרגע גילויה. על מנת להימנע מחשיפה לפירצה, חייבים מפתחי אנדרואיד העושים שימוש בספריית דרופבוקס להקפיד ולעדכן את ערכת כלי הפיתוח שלהם לגירסה 1.6.2. על מנת להיות מוגנים, לאחר תיקון המפתחים, משתמשי קצה צריכים לעדכן את האפליקציות המותקנות כבר על גבי מכשיריהם.

האפליקציה הנפוצה ביותר העושה שימוש בספרייה של דרופבוקס, היא חבילת הכלים המשרדיים Microsoft Office Mobile , שרשמה כבר יותר מ-10 מיליון הורדות. אפליקציה פופולרית אחרת החשופה לפירצה שהתגלתה על ידי מומחי יבמ, היא כלי ניהול הסיסמאות של AgileBits 1Password , שרשם מאה אלף הורדות. ברשימת האפליקציות החשופות ניתן למצוא גם שורה ארוכה של כלים בתחום עריכת התמונה ושיתוף התמונות.

מיקרוסופט (Microsof) וגם Agilebits 1Password כבר בצעו את העדכונים הנדרשים. לפני כשלושה חודשים פורסם מחקר, שערך מרכז יבמ לתובנות עסקיות יישומיות, עם כ-140 מנהלי אבטחה בארגונים. כמעט 90% מהמשיבים כבר אימצו טכנולוגיות ענן או מתכננים עתה מיזמים בתחום הענן.

לדברי רועי חי, מוביל קבוצת המחקר X-Force Application Security, "יותר ויותר ארגונים פונים אל כלי הענן, על מנת להקל על עבודת עובדיהם ולאפשר גישה נוחה יותר לקבצים". הוא ציין כי "שחקנים הפועלים בתחום האחסון בענן, דוגמת דרופבוקס, עושים את דרכם אל תוך השוק הארגוני – בתהליך ההופך את גילוי הפירצה שחשפנו – לעניין קריטי. כך, למשל, עובדים מרבים להשתמש בשירותי אחסון קבצים דוגמת דרופבוקס, הפועלים מחוץ למטריית כללי ההתנהלות במסגרת החברה, על מנת לאחסן ולשתף קבצים הנוגעים לעבודתם. קבצים אלה יכולים להיות כל דבר – החל ממצגות פאואר פוינט ועד לטפסיי בקשה למימון, מסמכים הכלולים בבקשה לאישור תרופה ב-FDA, או מספרים הנוגעים להנפקה קרובה".

"עסקים חייבים להבין היכן יכולה להיות מאוחסנת כל פיסת נתונים שלהם במיוחד לנוכח הקשרים ההולכים ונבנים בין עולם המובייל לעולם הענן", אמר חי, "צרכנים רבים משתמשים באפליקציות הנגישות למידע אישי ועסקי, רבות מהן מאכסנות אותו בענן".