Sicherheitslücke in Dropbox ermöglicht Dateizugriff

Sicherheitslücken Eigentlich wollte Derek Newton überprüfen, ob die Software Dropbox, mit der sich beliebige Daten über verschiedene Plattformen synchronisieren lassen, forensisch verwertbare Daten hinterlässt. Dabei fand er eine Sicherheitslücke, die er nun ausführlich dokumentiert hat.
Nach der Installation von Dropbox müssen zunächst die Zugangsdaten für den Online-Dienst eingegeben werden. Anschließend wird der persönliche Dropbox-Ordner auf dem System angelegt und mit den Daten gefüllt, die bereits mit dem Benutzerkonto verknüpft sind. Im Rahmen dieses Vorgangs werden einige Informationen in einer SQLite-Datenbank abgelegt, die sich in der Datei config.db befindet. Dazu gehören die E-Mail-Adresse des Nutzers, der Pfad zum Dropbox-Ordner sowie ein eindeutiger Schlüssel des jeweiligen Systems, die host_id.

Dropbox SicherheitslückeDie config.db öffnet einem Angreifer die Tore. Ein Angreifer, dem es gelingt die config.db zu stehlen oder den darin enthaltenen Schlüssel in Erfahrung zu bringen, kann von einem eigenen PC ohne Authentifizierung auf die Dateien seines Opfers zugreifen. Besonders gefährlich ist die Tatsache, dass der Nutzer davon nichts mitbekommt. Der Angreifer kann solange die Daten herunterladen oder austauschen, bis der rechtmäßige Nutzer das betroffene System, das sich hinter der host_id verbirgt, bei Dropbox abmeldet. Diese Möglichkeit bietet sich nach einem Login auf dropbox.com im Menüpunkt "Account". Sogar das Ändern des Passworts verhindert den ungewollten Zugriff eines Angreifers nicht.

Die Entwickler von Dropbox zeigten sich gegenüber Newton abweisend. Sie argumentieren, dass es sich nicht um eine Sicherheitslücke handelt, da ein Angreifer bereits Sicherheitssysteme überwinden musste, um an die config.db zu gelangen. Es gibt jedoch Szenarien, beispielsweise bei einem für kurze Zeit unbeaufsichtigtem PC, wo einem Anwender die Schwachstelle von Dropbox zum Verhängnis werden kann. In Zukunft wollen die Dropbox-Entwickler Maßnahmen in Betracht ziehen, die einen Zugriff auf die config.db bzw, die host_id erschweren.

Download: Dropbox 1.0.28 (14,08 MB)
Diese Nachricht empfehlen
Kommentieren58
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!

Jetzt als Amazon Blitzangebot

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles

Tipp einsenden