Sicherheitslücke in Dropbox ermöglicht Dateizugriff

Sicherheitslücken Eigentlich wollte Derek Newton überprüfen, ob die Software Dropbox, mit der sich beliebige Daten über verschiedene Plattformen synchronisieren lassen, forensisch verwertbare Daten hinterlässt. Dabei fand er eine Sicherheitslücke, die er nun ausführlich dokumentiert hat. Nach der Installation von Dropbox müssen zunächst die Zugangsdaten für den Online-Dienst eingegeben werden. Anschließend wird der persönliche Dropbox-Ordner auf dem System angelegt und mit den Daten gefüllt, die bereits mit dem Benutzerkonto verknüpft sind. Im Rahmen dieses Vorgangs werden einige Informationen in einer SQLite-Datenbank abgelegt, die sich in der Datei config.db befindet. Dazu gehören die E-Mail-Adresse des Nutzers, der Pfad zum Dropbox-Ordner sowie ein eindeutiger Schlüssel des jeweiligen Systems, die host_id.

Dropbox SicherheitslückeDie config.db öffnet einem Angreifer die Tore. Ein Angreifer, dem es gelingt die config.db zu stehlen oder den darin enthaltenen Schlüssel in Erfahrung zu bringen, kann von einem eigenen PC ohne Authentifizierung auf die Dateien seines Opfers zugreifen. Besonders gefährlich ist die Tatsache, dass der Nutzer davon nichts mitbekommt. Der Angreifer kann solange die Daten herunterladen oder austauschen, bis der rechtmäßige Nutzer das betroffene System, das sich hinter der host_id verbirgt, bei Dropbox abmeldet. Diese Möglichkeit bietet sich nach einem Login auf dropbox.com im Menüpunkt "Account". Sogar das Ändern des Passworts verhindert den ungewollten Zugriff eines Angreifers nicht.

Die Entwickler von Dropbox zeigten sich gegenüber Newton abweisend. Sie argumentieren, dass es sich nicht um eine Sicherheitslücke handelt, da ein Angreifer bereits Sicherheitssysteme überwinden musste, um an die config.db zu gelangen. Es gibt jedoch Szenarien, beispielsweise bei einem für kurze Zeit unbeaufsichtigtem PC, wo einem Anwender die Schwachstelle von Dropbox zum Verhängnis werden kann. In Zukunft wollen die Dropbox-Entwickler Maßnahmen in Betracht ziehen, die einen Zugriff auf die config.db bzw, die host_id erschweren.

Download: Dropbox 1.0.28 (14,08 MB)
Diese Nachricht empfehlen
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Jetzt als Amazon Blitzangebot
Ab 08:39 Uhr XbotGo SportkameraXbotGo Sportkamera
Original Amazon-Preis
199,00
Im Preisvergleich ab
199,00
Blitzangebot-Preis
169,15
Ersparnis zu Amazon 15% oder 29,85
Im WinFuture Preisvergleich
Folgt uns auf Twitter
WinFuture bei Twitter
Interessante Artikel & Testberichte
WinFuture wird gehostet von Artfiles
Tipp einsenden
❤ WinFuture unterstützen
Sie wollen online einkaufen? Dann nutzen Sie bitte einen der folgenden Links, um WinFuture zu unterstützen: Vielen Dank!