Dùng Dropbox có thể bị tấn công

Published by Dương Linh on

Hai nhà nghiên cứu an ninh vừa chứng minh những lỗ hổng an ninh của Dropbox, từ việc truy cập vào các tệp riêng tư của người sử dụng và điều này được giải thích trong một bài báo nghiên cứu cách thức họ thực hiện.

dung-dropbox-co-the-bi-tan-cong

Mục tiêu của họ là lấy Dropbox để tạo một phiên bản nguồn mở cho chính dịch vụ này, có nghĩa là bất cứ ai có thể xem được mã của Dropbox và kiểm định được dịch vụ này có an ninh.

“Dropbox sẽ không còn là một hộp đen”, các nhà nghiên cứu Dhiru Kholia của Openwall và Przemysław Wegrzyn của CodePainters, đã viết trong bài báo nghiên cứu của mình.

Có một vài điều thú vị về sự mổ xẻ Dropbox. Một là sau khi Dropbox bị tấn công 1 năm trước, Dropbox đã bổ sung các tính năng để bảo vệ người sử dụng và làm cho Dropbox hấp dẫn người sử dụng như doanh nghiệp.

Ví dụ, Dropbox bổ sung mã hóa và điều được gọi là “xác thực dùng hai nhân tố” buộc người sử dụng phải thực hiện thêm 2 bước để đăng nhập vào tài khoản Dropbox.

Các nhà nghiên cứu đã vượt qua cả hai bước bảo vệ này.

Quan trọng hơn, các nhà nghiên cứu đảo ngược phần được kỹ thuật của Dropbox chạy trên máy tính người sử dụng. Có nghĩa là họ đã xem xét mã lập trình của Dropbox. Họ đã từng không làm được điều này. Dropbox được viết trên Python sử dụng các kỹ thuật ngăn chặn kỹ thuật nghịch đảo.

Có rất nhiều dịch vụ đám mây sử dụng Python và các kỹ thuật tương tự. Điều này có nghĩa là tất cả dịch vụ này có thể rủi ro.

Cuối cùng, các nhà nghiên cứu muốn làm Dropbox an toàn hơn. Họ hy vọng những người khác sẽ giúp họ xây dựng một phương pháp nguồn mở an toàn để sử dụng Dropbox. Nghiên cứu này dành cho Dropbox nếu Dropbox muốn.

Dropbox cho rằng nghiên cứu này không thực sự đặt bất cứ tài khoản của ai vào rủi ro. Một phát ngôn viên cho biết:

“Chúng tôi đánh giá cao các đóng góp của các nhà nghiên cứu này và bất cứ ai hỗ trợ Dropbox an toàn. Tuy nhiên, chúng tôi tin rằng nghiên cứu này không cho thấy điểm yếu ở phía người sử dụng Dropbox. Trong trường hợp như đã đề cập, máy tính của người sử dụng sẽ là máy tính gặp rủi ro toàn bộ, chứ không chỉ Dropbox của người sử dụng”.

Dương Linh
( Theo ICTPress )