Dropbox ha corretto una grave vulnerabilità che poteva consentire ai siti di terze parti di accedere ai dati degli utenti. L’azienda non ha chiarito se il bug sia stato sfruttato da qualche malintenzionato, ma fortunatamente ha già provveduto all’applicazione della patch. La falla è stata individuata nella funzionalità shared link che permette la condivisione di file e cartelle. Un esperto di sicurezza ha scoperto però che la vulnerabilità può essere sfruttata in un altro modo.
Quando l’utente clicca su un link, il browser invia la richiesta al server di destinazione inserendo nell’header HTTP l’indirizzo del sito di partenza. Questi referer header sono stati progettati per consentire ad un sito di registrare le sorgenti del traffico web. Gli shared link di Dropbox sono utilizzati per inviare i collegamenti ai documenti ad altre persone (anche a quelle non registrate al servizio). Se questi documenti contengono un link, sarebbe possibile divulgare inavvertitamente il loro contenuto a destinatari sconosciuti. Dropbox ha spiegato come il bug potrebbe essere sfruttato:
- Un utente condivide un link ad un documento che contiene un link ad un sito di terze parti
- Il destinatario autorizzato clicca sul link nel documento
- Il referer header comunica il link condiviso al sito di terze parti
- Qualcuno che può leggere il referer header, ad esempio il webmaster, potrebbe accedere al link al documento condiviso
Dropbox ha risolto la vulnerabilità, per cui tutti gli shared link creati da ora in avanti saranno al sicuro. Per i documenti già condivisi è stato invece disattivato l’accesso, quindi è necessario ricreare i link. Gli utenti di Dropbox for Business possono utilizzare l’opzione che permette di restringere l’accesso agli shared link, funzione assente nelle versione gratuita del servizio.
L’esperto di sicurezza Graham Cluley ha scoperto però che l’accesso ai documenti riservati è possibile anche in un altro modo. Se il destinatario inserisce per errore il link su Google, invece che nella barra degli indirizzi del browser, il server dell’inserzionista pubblicitario riceverà lo shared link, se l’utente clicca sul banner mostrato nella pagina dei risultati. Un’azienda che offre servizi enterprise, Intralinks, ha scoperto per caso la vulnerabilità esaminando le sorgenti di traffico con Google Analytics e i report di Google Adwords. Questa falla non è stata ancora risolta da Dropbox.