Dropbox, Google Driver có thể bị tấn công không cần mật khẩu

09:38 | 03/09/2015 | LỖ HỔNG ATTT

Lỗ hổng bảo mật cho phép tin tặc truy cập vào nhiều dịch vụ điện toán đám mây mà không cần đánh cắp mật khẩu của người dùng.

Trong Hội thảo Black Hat tổ chức tại Las Vegas (Mỹ), hãng bảo mật Imperva đã trình bày về phương thức tấn công "man-in-the-cloud", có thể lấy các tập tin lưu trữ trên điện toán đám mây hoặc lây nhiễm các phần mềm độc hại mà người dùng không hề biết.

Dropbox, Google Driver có thể bị tấn công không cần mật khẩu

Khác với kiểu tấn công truyền thống là "man-in-the-middle", phương thức tấn công "man-in-the-cloud" khai thác lỗ hổng trong quá trình đồng bộ tập tin, có trong thiết kế của nhiều dịch vụ của các hãng Google, Box, Microsoft hay Dropbox. Đây không chỉ là vấn đề với người dùng mà còn tác động đến nhiều doanh nghiệp, khi mà dịch vụ điện toán đám mây được tăng cường áp dụng để chia sẻ các dữ liệu quan trọng.

Các cuộc tấn công MITC không dựa vào lỗ hổng trên các ứng dụng đồng bộ hay lỗ hổng an toàn trong máy chủ lưu trữ đám mây, mà dựa vào một lỗi thiết kế.

Theo thiết kế, các dịch vụ lưu trữ sẽ không yêu cầu mật khẩu mỗi lần khi có tệp tin được đồng bộ, thay vào đó, một token được sử dụng để cấp quyền cho các hoạt động này để không gián đoạn người dùng.

Khi lấy cắp mật khẩu token, tin tặc có thể bổ sung những mật khẩu token đó vào PC hoặc các script tự động của mình, sau đó truy cập và lợi dụng các tài khoản đã bị đánh cắp bằng rất nhiều cách khác nhau. Từ đó, tin tặc hoàn toàn có thể giả mạo người dùng hợp pháp để quản lý các tệp tin, thậm chí tải lên những phần mềm độc hại.

Nguy hiểm hơn, người dùng gần như không kiểm soát được và không có cách ngăn chặn cuộc tấn công này. Bởi token được gắn với thiết bị của người dùng nên việc đổi mật khẩu là vô nghĩa. Hiện tại, chưa có hãng nào phản hồi trước thông tin trên.

‹ › ×

Tin liên quan

Hãng game của Nhật Bản cảnh báo rủi ro bảo mật đám mây do cấu hình sai Google Drive

14:00 | 16/01/2024

Công ty phát triển trò chơi Android - Ateam (Nhật Bản) chứng minh rằng một lỗi cấu hình Google Drive đơn giản có thể dẫn đến nguy cơ lộ thông tin nhạy cảm trong khoảng thời gian hơn 6 năm vừa qua.

Dịch vụ chữ ký điện tử trên DropBox bị tin tặc xâm nhập đánh cắp dữ liệu

08:00 | 04/05/2024

Công ty lưu trữ đám mây DropBox cho biết tin tặc đã xâm nhập vào hệ thống nền tảng Chữ ký điện tử DropBox Sign và giành được quyền truy cập vào mã thông báo xác thực (Authentication tokens), khóa MFA, mật khẩu băm và thông tin khách hàng.

Tin cùng chuyên mục

Ứng dụng chứa mã độc Mandrake tồn tại trên kho ứng dụng Play Store

13:00 | 21/08/2024

Mặc dù đã có những biện pháp kiểm duyệt từ Google, tuy nhiên kho ứng dụng Play Store dành cho nền tảng Android vẫn thường xuyên ghi nhận xuất hiện các phần mềm có chứa mã độc.

Tin tặc đánh cắp 1,4 tỷ USD tiền mã hóa trong 6 tháng đầu năm 2024

10:00 | 18/07/2024

Theo báo cáo được các chuyên gia của hãng nghiên cứu bảo mật TRM Labs (Mỹ) cho biết, số tiền mã hóa bị đánh cắp trong các vụ tấn công mạng trên toàn cầu đã tăng hơn gấp đôi trong nửa đầu năm 2024 so với cùng kỳ năm ngoái.

Phát hành tập lệnh khai thác lỗ hổng trên các máy chủ Progress Telerik Report

10:00 | 04/07/2024

Các nhà nghiên cứu đã phát hành một tập lệnh khai thác (PoC) cho chuỗi lỗ hổng dẫn đến thực thi mã từ xa (RCE) trên các máy chủ Progress Telerik Report.

Hai ứng dụng có chứa mã độc Anatsa tồn tại trên cửa hàng Google Play

08:00 | 11/06/2024

Mới đây, các chuyên gia tại Zscaler (California) phát hiện ra hai ứng dụng có chứa mã độc Anatsa xuất hiện trên cửa hàng Google Play với tên gọi PDF Reader & File Manager và QR Reader & File Manager.