Sicherheitslücke in Dropbox ermöglicht Dateizugriff
Nach der Installation von Dropbox müssen zunächst die Zugangsdaten für den Online-Dienst eingegeben werden. Anschließend wird der persönliche Dropbox-Ordner auf dem System angelegt und mit den Daten gefüllt, die bereits mit dem Benutzerkonto verknüpft sind. Im Rahmen dieses Vorgangs werden einige Informationen in einer SQLite-Datenbank abgelegt, die sich in der Datei config.db befindet. Dazu gehören die E-Mail-Adresse des Nutzers, der Pfad zum Dropbox-Ordner sowie ein eindeutiger Schlüssel des jeweiligen Systems, die host_id.
Die config.db öffnet einem Angreifer die Tore. Ein Angreifer, dem es gelingt die config.db zu stehlen oder den darin enthaltenen Schlüssel in Erfahrung zu bringen, kann von einem eigenen PC ohne Authentifizierung auf die Dateien seines Opfers zugreifen. Besonders gefährlich ist die Tatsache, dass der Nutzer davon nichts mitbekommt. Der Angreifer kann solange die Daten herunterladen oder austauschen, bis der rechtmäßige Nutzer das betroffene System, das sich hinter der host_id verbirgt, bei Dropbox abmeldet. Diese Möglichkeit bietet sich nach einem Login auf dropbox.com im Menüpunkt "Account". Sogar das Ändern des Passworts verhindert den ungewollten Zugriff eines Angreifers nicht.
Die Entwickler von Dropbox zeigten sich gegenüber Newton abweisend. Sie argumentieren, dass es sich nicht um eine Sicherheitslücke handelt, da ein Angreifer bereits Sicherheitssysteme überwinden musste, um an die config.db zu gelangen. Es gibt jedoch Szenarien, beispielsweise bei einem für kurze Zeit unbeaufsichtigtem PC, wo einem Anwender die Schwachstelle von Dropbox zum Verhängnis werden kann. In Zukunft wollen die Dropbox-Entwickler Maßnahmen in Betracht ziehen, die einen Zugriff auf die config.db bzw, die host_id erschweren.
Download: Dropbox 1.0.28 (14,08 MB)
Die config.db öffnet einem Angreifer die Tore. Ein Angreifer, dem es gelingt die config.db zu stehlen oder den darin enthaltenen Schlüssel in Erfahrung zu bringen, kann von einem eigenen PC ohne Authentifizierung auf die Dateien seines Opfers zugreifen. Besonders gefährlich ist die Tatsache, dass der Nutzer davon nichts mitbekommt. Der Angreifer kann solange die Daten herunterladen oder austauschen, bis der rechtmäßige Nutzer das betroffene System, das sich hinter der host_id verbirgt, bei Dropbox abmeldet. Diese Möglichkeit bietet sich nach einem Login auf dropbox.com im Menüpunkt "Account". Sogar das Ändern des Passworts verhindert den ungewollten Zugriff eines Angreifers nicht.
Die Entwickler von Dropbox zeigten sich gegenüber Newton abweisend. Sie argumentieren, dass es sich nicht um eine Sicherheitslücke handelt, da ein Angreifer bereits Sicherheitssysteme überwinden musste, um an die config.db zu gelangen. Es gibt jedoch Szenarien, beispielsweise bei einem für kurze Zeit unbeaufsichtigtem PC, wo einem Anwender die Schwachstelle von Dropbox zum Verhängnis werden kann. In Zukunft wollen die Dropbox-Entwickler Maßnahmen in Betracht ziehen, die einen Zugriff auf die config.db bzw, die host_id erschweren.
Download: Dropbox 1.0.28 (14,08 MB)
Jetzt als Amazon Blitzangebot
Ab 08:39 Uhr XbotGo Sportkamera
Original Amazon-Preis
199,00 €
Im Preisvergleich ab
199,00 €
Blitzangebot-Preis
169,15 €
Ersparnis zu Amazon 15% oder 29,85 €
Beliebte Downloads
Bilder zum Thema Cloud
Beiträge aus dem Forum
-
OneDrive Dokumentenordner Konfusion - Hilfe!
blommberg -
CloudFest Hackathon 2023 mit innovativen WordPress-Projekte:....
el_pelajo -
KeePass mit Google Drive
PC.Nutzer -
rklone, insinc, GNOME, KDE etc: .zur nativen Verwendung Google Drive
el_pelajo -
Gruppieren von Textfeld und PNG Icon (Word Office 365)
Hideko1994 -
Office 365 und Windows Benutzerkontensteuerung
Bassman -
oneDrive nach PC Rücksetzen unvollständig
Hideko1994 -
GitHub Codespaces - die cloudbasierte Entwicklungsumgebung mit vielen
el_pelajo -
Office 365 - Sync AD (2012R2)
der dom -
OneDrive doppelt ?
hjhkl43
Interessante Links
Beliebt im Preisvergleich
- NAS-Systeme:
Neue Nachrichten
- Steam-Familie: Neue Funktionen zum Teilen von Spielen vorgestellt
- Bestpreis-Tarif: Allnet-Flat mit 25 GB im Telekom-Netz für 9,99 Euro
- Blackwell B200: Nvidia will seinen bisherigen Super-Chip noch toppen
- Microsoft Teams: Neue Funktionen für Nutzer, Admins und Entwickler
- Garnet: Microsoft Research gibt überlegenes Cache-System frei
- Callya: Vodafone schenkt allen Prepaid-Kunden 10 GB Datenvolumen
- Aktuelle Technik-Blitzangebote von Amazon im Überblick
Videos
Beliebte Downloads
Beliebte Nachrichten
Michael Diestelberg
Redakteur bei WinFuture
Ich empfehle ...
Meist kommentierte Nachrichten
Forum
-
Problem mit Microsoft 356 Business & extern gehosteten Exchange Po
MrRobot24 - vor 53 Minuten -
Fritzbox USB Fernanschluss ist irgendwie blockiert?
venom30 - vor 56 Minuten -
WSA Abschaltung
Stefan_der_held - vor 1 Stunde -
Neu: Mozilla Firefox 124.0 freigegeben: die neueste Version steht zum
el_pelajo - Gestern 15:22 Uhr -
Mein Favoriten-Browser
Stef4n - Vorgestern 23:01 Uhr
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Alle Kommentare zu dieser News anzeigen