開發人員逆向工程找到挾持Dropbox帳號的方法

不過Dropbox聲明，駭客必須要先取得使用者的個人電腦才能夠挾持成功。外界分析則指出，此一研究成果最吸引人的部份應該是他們利用反向工程解析了被嚴密保護的Dropbox Python程式。

兩名開發人員Dhiru Kholia與Przemysław Wegrzyn在本月舉行的USENIX 2013會議上公布一份研究報告，指出他們找到一種可以繞過Dropbox雙因素認證並挾持Dropbox帳號的方法。

Dropbox為目前最受歡迎的雲端儲存服務之一，全球使用人數已突破1億。Kholia與Wegrzyn以一些新的與一般技術，針對Dropbox或其他業者所使用的Frozen Python程式進行逆向工程分析，而且只要利用程式碼注入（code injection）技術與monkey patch就能竊聽Dropbox客戶端的SSL資料。

該研究揭露了Dropbox客戶端所使用的內部API，並使其可用來撰寫可攜式的開放源碼Dropbox客戶端，然後設計了用來攻破Dropbox的外掛程式，並展示如何繞過雙因素認證以存取使用者的資料。

不過Dropbox聲明，依據該研究的描述，駭客必須要先取得使用者的個人電腦才能夠挾持成功。這種情況下使用者所有資料都有曝光的風險，不只是Dropbox。

外界分析指出，此一研究成果最吸引人的部份應該是他們利用反向工程解析了被嚴密保護的Dropbox Python程式。Kholia與Wegrzyn也說他們最大的貢獻是讓Dropbox平台更透明化以供後續的安全分析與研究。（編譯/陳曉莉）
來源 ithome
====================================================
缺積分?? 缺碎鑽?? 缺鑽石?? 缺權限?? ...還是什麼都缺嗎?
可以參考以下兩篇 :
1. 共襄盛挙:結縁*随縁*感恩*惜福 APK.TW送給您\*伴手禮*/
2. 新會員必讀 ~升級密技~ 鑽石-任務-積分-權限-簽到-搜尋-發文
====================================================
歡迎大家踴躍加入 群組 內的 "九局棒棒歡樂新天地"/"香蕉卯上芭樂"和"韓流瘋"及" 爆爆遊樂園"不定期會有些小活動...歡迎踴躍參與...
====================================================
【其它小分享 福利帖】
(第348波大放送) : 人人回帖有獎勵
(第348波大放送) : 人人回帖有獎勵
(第347波大放送) : 人人回帖有獎勵
(第346波大放送) : 人人回帖有獎勵
(第345波大放送) : 人人回帖有獎勵
<如須查詢更多相關內容,請自行爬文>


★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★
★                          **以上報告完畢**                          ★
★     如果可以的話,幫我評個分數或是送一多花給我^^          ★
★     您的評分與鮮花,是我下次再發帖的原動力                   ★
★                                 謝謝~                                   ★
★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★

====================================================
                                                                                   2013/08/29 By 游幃翔