QR code per la pagina originale

Dropbox, bug nell’autenticazione in due passaggi

Ricercatori di sicurezza hanno scoperto una vulnerabilità nel sistema di autenticazione in due passaggi di Dropbox, dovuta al mancato controllo delle email.

,

Come altri servizi web, anche Dropbox implementa un sistema di autenticazione in due passaggi per garantire una maggiore sicurezza agli utenti. Q-CERT ha però scoperto una vulnerabilità che permette di bypassare la verifica, sfruttando l’assenza di controllo sulla validità dell’indirizzo email. È sufficiente effettuare il login usando un account simile a quello della vittima. L’azienda è stata avvertita del problema e ha risolto immediatamente il bug segnalato su Dropbox.

L’autenticazione (o verifica) in due passaggi è un livello extra di sicurezza che prevede l’inserimento di un codice inviato via SMS. Se un malintenzionato riesce ad ottenere il nome utente e la password della vittima, è piuttosto semplice eludere la protezione. La vulnerabilità consiste nel fatto che Dropbox non controlla l’autenticità dell’indirizzo email durante il processo di registrazione, quindi è sufficiente aggiungere un punto all’email (ad esempio, pinco.pallino@outlook.com).

Codice di emergenza generato da Dropbox.

Codice di emergenza generato da Dropbox.

Per l’account fake viene generato un codice di emergenza, da usare nel caso in cui l’utente perda il suo cellulare. Dato che Dropbox non distingue tra pinco.pallino@outlook.com e pincopallino@outlook.com, questo codice funzionerà anche sull’account della vittima. Se un malintenzionato riesce a sottrarre le credenziali di accesso (mediante phishing o keylogger), può disattivare l’autenticazione in due passaggi, inserendo appunto il codice di emergenza.

Fonte: The Hacker News • Notizie su: ,