Reverse Engineering: Dropbox komplett geöffnet

Zwei Entwicklern ist es gelungen, den Cloud-Dienst Dropbox einem Reverse Engineering zu unterziehen. Selbst die verschiedenen Sicherheits-Maßnahmen konnten sie nachahmen und so quasi vollständige Kontrolle erlangen.

Immerhin rund 100 Millionen Nutzer verwenden den Dienst derzeit zur Synchronisation oder zum Teilen ihrer Daten. Täglich werden hier so etwa eine Milliarde Dateien durchs Netz geschoben. Welche Mechanismen genau im Hintergrund ablaufen, blieb bisher im Dunkeln - doch dies hat sich nun geändert.

Die Entwickler Dhiru Kholia und Przemyslaw Wegrzyn präsentierten auf der USENIX 2013-Konferenz ein Arbeitspapier, in dem Schritt für Schritt das gesamte System des Dienstes nachempfunden wird. "Wir können zeigen, wie Dropbox von Grund auf und in jedem Detail ausgepackt, entschlüsselt und dekompiliert werden kann", erklärten sie in ihrem Papier.


Die Methode, die die beiden einsetzten, sei letztlich aber nicht nur auf diesen einen Dienst anwendbar. Auch andere proprietäre Anwendungen, die mit kompiliertem Python arbeiten, können so komplett studiert werden - dazu gehören viele Applikationen der US-Raumfahrtbehörde NASA, Minecraft, Django, OpenStack und eine Reihe von Google-Angeboten.

Um die Quellcodes zu rekonstruieren nutzten die Entwickler unter anderem einen modifizierten Python-Interpreter, der beim Ablauf des jeweiligen Programms wichtige Informationen ausspuckte. Letztlich war es durch die Analysen möglich, verschiedene Sicherheits-Funktionen des Services auszuhebeln.

Wie die Entwickler ausführten, habe der Betreiber aber schnell reagiert und verschiedene Patches nachgeschoben, so dass mit den Erkenntnissen in dem Forschungspapier nicht direkt Angriffe auf Dropbox-Konten durchgeführt werden können. Die Arbeit der beiden offenbart aber nicht nur potenzielle Sicherheitsprobleme, sondern bietet auch einen tiefen Einblick in die nicht dokumentierten Bereiche der API, so dass beispielsweise alternative Dropbox-Clients entwickelt werden können.
Mehr zum Thema: Dropbox
Diese Nachricht empfehlen
Videos zum Thema
 
Echt erstaunlich, was man mit RE alles machen kann. Und auch zugleich erschreckend... Aber immerhin hat Dropbox schnell reagiert und alles gepatcht. "einen tiefen Einblick in die nicht dokumentierten Bereiche der API, so das beispielsweise alternative Dropbox-Clients entwickelt werden können." Gibt es ja im Grunde genommen schon bspw. Owncloud ;) EDIT: Sicherlich nicht sooo umfangreich wie Dropbox, aber trotzdem entwickelt sich der Client.
 
@Prolamer: damit ist gemeint, dass andere Entwickler einen Client für den Dropbox Dienst entwickeln könnten
 
@JasonLA: Angeblich arbeitet Amazon bereits an ShopBox - einem alternativen Dropbox-Client, der alle 5 Minuten Werbe-Flyer im PDF-Format in die eigene Dropbox lädt. Die NSA wiederum werkelt an TrollBox, welche bei der Installation einfach nur eine Meldung ausspuckt, dass ein Fehler aufgetreten ist und fortan im Hintergrund sämtliche relevanten Daten des jeweiligen Rechners auf die NSA-eigene Dropbox überträgt.
 
@Prolamer: Ich liebe ownCloud. Läuft hier auf meinem NAS und ich hab iCloud und Dropbox damit ersetzt.
 
So viel zur Sicherheit von Clouddiensten und der Daten die dort abgelegt werden. Wieder ein Dienst den ich definitiv von der Liste streiche.


Alle Kommentare zu dieser News anzeigen

Schreiben Sie uns Ihre Meinung, bewerten Sie Kommentare oder diskutieren Sie mit anderen WinFuture.de Lesern!

Melden Sie sich jetzt kostenlos an
oder verwenden Sie Ihren bestehenden Zugang.

Wöchentlicher Newsletter

DropBox-Bücher auf Amazon

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles