Dropbox, Google Driver có thể bị tấn công không cần mật khẩu

09:03 | 03/09/2015

Lỗ hổng bảo mật cho phép tin tặc truy cập vào nhiều dịch vụ điện toán đám mây mà không cần đánh cắp mật khẩu của người dùng.

Trong Hội thảo Black Hat tổ chức tại Las Vegas (Mỹ), hãng bảo mật Imperva đã trình bày về phương thức tấn công "man-in-the-cloud", có thể lấy các tập tin lưu trữ trên điện toán đám mây hoặc lây nhiễm các phần mềm độc hại mà người dùng không hề biết.



Khác với kiểu tấn công truyền thống là "man-in-the-middle", phương thức tấn công "man-in-the-cloud" khai thác lỗ hổng trong quá trình đồng bộ tập tin, có trong thiết kế của nhiều dịch vụ của các hãng Google, Box, Microsoft hay Dropbox. Đây không chỉ là vấn đề với người dùng mà còn tác động đến nhiều doanh nghiệp, khi mà dịch vụ điện toán đám mây được tăng cường áp dụng để chia sẻ các dữ liệu quan trọng.

Các cuộc tấn công MITC không dựa vào lỗ hổng trên các ứng dụng đồng bộ hay lỗ hổng an toàn trong máy chủ lưu trữ đám mây, mà dựa vào một lỗi thiết kế.

Theo thiết kế, các dịch vụ lưu trữ sẽ không yêu cầu mật khẩu mỗi lần khi có tệp tin được đồng bộ, thay vào đó, một token được sử dụng để cấp quyền cho các hoạt động này để không gián đoạn người dùng.

Khi lấy cắp mật khẩu token, tin tặc có thể bổ sung những mật khẩu token đó vào PC hoặc các script tự động của mình, sau đó truy cập và lợi dụng các tài khoản đã bị đánh cắp bằng rất nhiều cách khác nhau. Từ đó, tin tặc hoàn toàn có thể giả mạo người dùng hợp pháp để quản lý các tệp tin, thậm chí tải lên những phần mềm độc hại. 

Nguy hiểm hơn, người dùng gần như không kiểm soát được và không có cách ngăn chặn cuộc tấn công này. Bởi token được gắn với thiết bị của người dùng nên việc đổi mật khẩu là vô nghĩa. Hiện tại, chưa có hãng nào phản hồi trước thông tin trên.