martes, 9 de julio de 2013

Vulnerabilidad en Dropbox permitía saltar la autenticación en 2 pasos

El equipo de Q-CERT (CERT de Qatar) ha publicado una vulnerabilidad que permitía saltar la autenticación en 2 pasos de Dropbox, lo que posibilitaba a un atacante tener el control de los ficheros de la víctima.

Dropbox es un servicio en Internet que permite a los usuarios registrados el almacenamiento en la nube de archivos.

La autenticación en 2 pasos (Two-Factor Authentication, 2FA) es una capa de seguridad en la autenticación en la que se requiere algo más que un usuario y contraseña para acceder al servicio. Generalmente suele tratarse de un código adicional, generado en el momento de la autenticación, que es recibido por el usuario a través de SMS o una llamada en un terminal móvil.

El investigador Zoutheir Abdallah ha demostrado que si un atacante conoce el usuario y contraseña de la víctima, la autenticación en 2 pasos puede ser eludida. El error es debido a que Dropbox no verifica correctamente la dirección de correo electrónico del usuario que se está autenticando.

Para aprovechar el error se debe crear una cuenta similar a la de la víctima que contenga un punto (.) en cualquier sitio del nombre de la cuenta, por ejemplo, si se quiere atacar al usuario victima@servidor.com, bastará con crear la cuenta victi.ma@servidor.com.

A continuación se debe de activar la autenticación en 2 pasos en la cuenta fraudulenta y guardar el código de seguridad que genera el servicio. Dicho código nos permite acceder a la cuenta en el caso de haber perdido el teléfono.


Como último paso, el atacante, deberá autenticarse con la cuenta real de la víctima, y en el momento de recibir el código en el dispositivo móvil, se deberá indicar al servicio que hemos perdido el dispositivo y que queremos ingresar el código de seguridad, código que fue generado en el momento de la creación de la cuenta fraudulenta y que sería también válido para la cuenta de la víctima.


Q-CERT ha trabajado con Dropbox para resolver el incidente y actualmente se encuentra corregido.

Más información

Bypassing the two-factor authentication in DropBox
http://www.qcert.org/alerts/bypassing-2-factor-authentication-dropbox


Jose Ignacio Palacios Ortega
jipalacios@hispasec.com


Etiquetas:

1 comentario:

  1. prueba10 de julio de 2013, 9:34

    Ufff es una alivio... Muchas gracias por el aviso y por haberlo solucionado.

    Saludos a todo el equipo

    ResponderEliminar

Suscribirse a: Enviar comentarios (Atom)
Hispasec Sistemas | Copyright ©1998-2017