“Privilege escalation”-sårbarhet i Dropbox

dropboxDropbox er en mye brukt tjeneste for å lagre og dele filer i nettskyen, og jeg kom over en aldri så liten sårbarhet her om dagen da jeg skulle lese noen dokumenter fra en shared link en student sendte meg. Shared links er en funksjon som brukes for å dele filer med andre uten at de trenger å logge seg på med sin egen Dropbox-bruker. Nå hadde det seg slik at det var en stund siden jeg fikk tilsendt denne lenka, og i mellomtiden var offentlig tilgang til filene i denne katalogen blitt fjernet. Likevel skulle det vise seg at man på en veldig enkel måte kunne få tilgang til filene her.

Vi tar dette steg for steg:

Selve lenka ga meg tilgang til katalogstrukturen og jeg kunne se filene (se figur 1), men da jeg klikket på en hvilken som helst fil fikk jeg melding om “Disabled link. Access to this link has been disabled. Please ask the owner of the shared link to send a new link to access the file or the folder” (se figur 2).

files
Figur 1. Web-grensesnitt for Dropbox.
Figur 2. Feilmelding om at jeg ikke har tilgang.
Figur 2. Feilmelding om at jeg ikke har tilgang.
Figur 3. Download
Figur 3. Download

“Faderullan da”, tenkte jeg, “noe så kjipt”. Vel, siden det var en Download-knapp oppe i høyre hjørne (se figur 1) kunne jeg jo prøve den for å være sikker. Ved å trykke denne får man valget mellom å laste ned alt innholdet som en zip-fil eller legge katalogen til sin egen Dropbox-konto (men da må man logge seg på) (se figur 3).

 

Til min overraskelse viste det seg at det gikk fint an å laste ned zip-fila, og etter å ha åpnet denne hadde jeg alle filene lagret lokalt og kunne åpne dokumentet jeg skulle lese likevel (se figur 4).

Figur 4. Ingen problemer med å laste ned og åpne zip-fil med alt innhold.
Figur 4. Ingen problemer med å laste ned og åpne zip-fil med alt innhold.

Oppsummering: Hva er feilen her? Jo, tilgangen til filene er blitt fjernet av en eller annen grunn, men Dropbox sin funksjon for å pakke ned alle filene og sende de til meg bryr seg tydeligvis ikke så mye om det. Dermed har jeg fått mer tilgang enn jeg egentlig skulle hatt, noe som på fagspråket kalles privilege escalation. Jeg har ikke sett noen andre rapporter på denne sårbarheten, så vi får vel sende en epost til Dropbox og høre hva de har å si…

OPPDATERING:

Vi har nå fått svar fra Dropbox, og som KVL999 under her påpeker skyldes dette fenomenet at Dropbox har skrudd av mange shared links til dokumenter som kan inneholde hyperlenker. Dette er en følge av fersk Web-sårbarhet du kan lese mer om her: https://blog.dropbox.com/2014/05/web-vulnerability-affecting-shared-links/

Kort fortalt går denne sårbarheten ut på at andre enn de du deler den delte hemmelige lenka med kan få tilgang til den. Dersom du via Dropbox deler et dokument som inneholder en lenke til for eksempel en Web-side og noen trykker på denne, kan Web-master her se hva den opprinnelige delte lenka var ved å inspisere header-info. Dropbox jobber med saken og kommer til å skru på igjen lenker som ikke er utsatt for sårbarheten etter hvert. Dersom du lager nye lenker vil ikke de være utsatt for denne sårbarheten.

Dropbox har også skrudd av hurtigvisning (file previews) for tiden, noe som gjør at du alltid må laste ned filene lokalt før du kan se på dem. I tilbakemeldingen vi har fått beklager de at de ikke vet når dette vil bli reparert, men de jobber med saken.