Sebezhetőséget találtak a Dropbox asztali kliensében



Yakir Wizman, Viktor Minin és Alexander Korznikov egy meglehetősen kínos sebezhetőséget fedezett fel a világ egyik legnépszerűbb tárhely szolgáltatásának számító Dropbox asztali kliensében, egészen pontosan a 9.4.49-es verziószámmal ellátott, Windowsra szánt, 64 bites kiadásban.

Androbit a Facebookon


A Local Credentials Disclosure sebezhetőség lényege, hogy a kliens a számítógép memóriájában plaintext formában, egyszerű szövegként tárolja a felhasználó hitelesítési adatait – az e-mail címet és a hozzá tartozó jelszót. Bár ez elsőre nem tűnik különösen kritikusnak, hiszen mégis csak a memóriából kell kihorgászni az említett adatokat, a támadóknak valójában csak egy egyszerű Python szkriptre és annak futtatására van szükségük – a támadás végrehajtható fizikai jelenléttel és backdoorral is távolról.



A szakemberek ráadásul egy példakódot is publikáltak, ami nem tesz mást, mint megkeresi a Dropbox.exe bináris futtatott folyamataiban a „&password=” kifejezést, találat esetén pedig szétdarabolja a folyamat memóriatartalmát egy felhasználónév és egy jelszó részre.

Forrás: Exploit Database