На конференции USENIX Workshop on Offensive Technologies два разработчика представили доклад о том, как им удалось обойти механизм защиты доступа к файлообменному сервису Dropbox.
Программисты, по их словам, путем обратной инженерии выяснили внутренний API клиента Dropbox. По их мнению, теперь несложно будет написать портативный клиент Dropbox с открытым кодом. Исследователи подробно рассказывают, как им удалось распаковать, расшифровать и декомпилировать клиент Dropbox. Утверждается, что тот же метод можно применять и для других программ на Python, преобразованных в исполняемый файл.
Кроме того, описан способ обхода двухфакторной аутентификации и захвата пользовательских аккаунтов сервиса и представлены общие методы перехвата данных, передаваемых по SSL, с использованием инъекции и подмены кода в период исполнения. Исследователи утверждают, что тем же путем перехватывали данные SSL в других коммерческих программных продуктах.
Операторы самого Dropbox заявляют, что данное исследование не обнаружило никаких уязвимостей в серверах компании, поскольку для доступа к пользовательскому аккаунту атакующему сперва необходимо будет захватить всю его систему, а не только клиент Dropbox.