En étudiant l'exécutable de l'application, les hackers précisent avoir décompilé le code source de Dropbox afin d'en étudier les contours. Après cette étape, ils ont été en mesure d'intercepter les communications SSL en provenance des serveurs de Dropbox et ajoutent qu'un contournement de l'identification à deux facteurs est éventuellement possible, même s'il faut pour cela créer un nouveau client.
« Nous avons décrit une méthode permettant de passer outre les sécurités relatives à la double authentification des comptes Dopbox. Mais il s'agit en fait de techniques relativement génériques permettant d'intercepter les données via des méthodes d'injection de code », précisent Dhiru Kholia et Przemyslaw Wegrzyn.
Par leur annonce, les hackers espèrent que le service de stockage de données sera, à l'avenir, plus ouvert à certains risques en matière de sécurité ainsi qu'aux pratiques dites de rétro-ingénierie ou « reverse engineering », permettant comme dans le cas présent de littéralement démonter un système pour en analyser les systèmes qui le constitue.
Aucun commentaire:
Enregistrer un commentaire