دراپ باکس فضای ابری خوبی است اما به نظر نمی رسد در زمینه امنیت، نفوذ ناپذیر باشد. یک روز کد پروتکل مجوزهای آن شکسته می شود، روز دیگر سایتی به حساب کاربران آن دست می یابد و حالا هم چند پژوهشگر حوزه امنیت موفق به دور زدن سامانه حفاظتی دراپ باکس شده اند.
این خبر می تواند هشدار مهمی باشد برای کاربران، به ویژه آنهایی که کارشان به خدمات ابری دراپ باکس وابستگی بیشتری دارد.
چطور در و پیکر دراپ باکس را باز کرده اند؟
ظاهراً این محققان نیت بدی نداشته اند و فقط می خواستند توانایی شان را اثبات کنند که البته موفق هم شده اند. آنها با مهندسی معکوس اپلیکیشن دسکتاپ این سرویس ذخیره سازی ابری، باعث تعجب جامعه توسعه دهندگان شده اند.
مهندسی معکوس یا کشف روند توسعه یک اپ با وارونه کردن مسیر ساخت محصول نهایی آن، کار معمولی است اما کسی فکر نمی کرد دراپ باکس در این زمینه تا این حد آسیب پذیر باشد. اپلیکیشن دراپ باکس، به زبان پایتون نوشته شده و در آن به شدت از کدهای مخفی استفاده شده ولی باز هم مانع این پژوهشگران نشده:
ما روشی درست کردیم تا با آن مجوز دو قسمتی دراپ باکس را دور بزنیم و حساب ها را سرقت کنیم. علاوه بر این، تکنیک های عمومی برای رهگیری داده های SSL با استفاده از فنون تزریق کد و وصله میمون هم ارائه کردیم.
درواقع آنها موفق شدند بدون دست کاری در سورس کدهای اصلی دراپ باکس آن را به میل خود تغییر دهند که این می تواند بسیار خطرناک باشد. آنها توانسته اند از سد امنیتی دو مرحله ای دراپ باکس بگذرند و حساب های کاربران را سرقت کنند. حالا هم با انتشار روش کار خود هکرهای خرابکار را وسوسه کرده اند.
با این حساب باید دید چه بلایی سر حجم عظیم داده های ذخیره شده در این فضای ابری محبوب می آید؟ آیا شما هم با شنیدن اخباری از این دست فکر می کنید همان راهکارهای سنتی کماکان امن ترند؟ حداقل بهتر است قبل از بارگزاری اطلاعات خود روی حساب دراپ باکس، آنها را رمزنگاری کنید.
منبع