Der unabhängige IT- und Tech-Kanal!
internet.board.entertainment.games.hardware
Dropbox (Logo)
Dropbox verfügt über die Funktionalität, den Online-Speicher eines Nutzers in der Dropbox-Cloud und die dafür vorgesehenen Bereiche der Festplatte permanent miteinander zu synchronisieren. Für Online-Backups ist dies äußerst hilfreich, weswegen Dropbox sowohl in Unternehmen als auch von Privatpersonen häufig zu diesem Zweck eingesetzt wird. Dropbox gibt es für verschiedene Betriebssysteme - Windows, Linux und Mac OS, aber auch mobile Betriebssysteme wie iOS und Android. Newton beschäftigte sich bei seinen Experimenten allerdings primär mit der Windows-Version der Client-Software und kann daher nur begrenzt Aussagen darüber treffen, inwiefern seine Ergebnisse auf andere Betriebssysteme übertragbar sind. Hier wären weitere Experimente erforderlich.
Newton stieß bei seinen Untersuchungen auf ernstzunehmende Schwächen bei der Sicherheit von Dropbox. Diese liegen in der Art begründet, wie Dropbox die Autorisierung angeschlossener Rechner oder Smartphones handhabt. Die Login-Daten des Dropbox-Accounts müssen dabei einmal bei der Installation der Software eingegeben werden und werden von diesem Zeitpunkt an auf dem entsprechenden Gerät nicht mehr benötigt.
Unter Windows werden Dropbox-Einstellungen in der Datei "config.db" gespeichert. Es handelt sich dabei um eine SQLite-Datenbank, die mit einem entsprechenden Editor geöffnet werden kann. Dabei stieß Newton auf einige interessante Informationen. Beim Experimentieren stellte sich heraus, dass die E-Mail-Adresse des Benutzers zwar gespeichert wird, offenbar aber nicht zur Authentifizierung herangezogen wird. Newton konnte sie ohne negative Folgen auf jeden beliebigen Wert ändern, sofern dieser das Format einer gültigen E-Mail-Adresse aufwies. Einzige für die Authentifizierung relevante Information in der config.db war offenbar der Wert "host_id". Dieser wird für jeden Rechner einzeln generiert, nachdem sich der Benutzer einmal mit seinen Login-Daten bei Dropbox angemeldet hat.
Newton stellte fest, dass die config.db "komplett portabel und in keiner Weise an das System gebunden" ist. Somit könnte ein Angreifer Zugriff auf die kompletten im Dropbox-Account gespeicherten Daten eines Benutzers erlangen, indem er dessen config.db kopiert oder aber lediglich Kenntnis der host_id erlangt und mit dieser eine eigene config.db erstellt. Dies würde vom Benutzer völlig unbemerkt geschehen. Weder eine Warnmeldung noch eine Änderung in der Liste der angemeldeten "Devices" wären zu beobachten, da für Dropbox der Rechner des Angreifers identisch mit dem, dessen host_id verwendet wird, wäre. Selbst wenn der Benutzer sein Passwort ändert, bleibt die host_id weiterhin gültig und es müssen keinerlei zusätzliche Login-Daten eingegeben werden. So könnte ein Angreifer einerseits die gesamten im Dropbox-Account gespeicherten Daten einsehen und auswerten. Andererseits ließen sich diese auch manipulieren. So könnte man dem Opfer beispielsweise Malware oder auch illegale Inhalte unterschieben.
Newton nennt einige mögliche Anwendungen für seine Erkenntnisse. So könnte Malware geschrieben werden, die speziell dem Kopieren der config.db dient. Selbst nach einem Entfernen der Malware hätte der Angreifer weiterhin Zugriff auf die Dropbox, sofern das Opfer nicht daran denkt- oder nicht über die nötigen Informationen verfügt - das betroffene System auch aus dem Dropbox-Account zu entfernen und anschließend eine neue host_id dafür zu generieren. Ganz allgemein lässt sich eine einzelne Datei - nämlich die config.db - weitaus leichter unbemerkt auslesen als größere Datenmengen. Somit gibt es viele Szenarien, seien sie mit oder ohne physischen Zugriff, in denen ein Angreifer Vorteile aus dieser Konfiguration von Dropbox ziehen könnte.
Ganz chancenlos sind Dropbox-Nutzer aber nicht. Neben dem Problem selbst nennt Newton auch mögliche Gegenmaßnahmen, die vor einem Datenverlust durch diese Dropbox-Schwäche schützen. Ein "offensichtlicher, aber nicht immer praktikabler" Schritt sei natürlich der komplette Verzicht auf den Dienst, so der Sicherheitsexperte. Eine weitere Möglichkeit wäre es, die in der Dropbox-Cloud gespeicherten Daten mit einer entsprechenden Software zu verschlüsseln. Dabei müsse man darauf achten, dass die Passphrase nicht über den Dropbox-Account ausgelesen werden könne. Daneben müsse man darauf achten, nicht mehr genutzte host_ids aus der Liste der Dropbox-Devices zu entfernen. Auch die Zeit der letzten Aktivität eines Devices müsse man im Auge behalten und bei Ungereimtheiten das entsprechende Device sofort entfernen.
Newton gibt in seinem Blogeintrag seiner Hoffnung Ausdruck, dass Dropbox bald durch zusätzliche Sicherheitsmaßnahmen zur Lösung des von ihm dokumentierten Problems beitragen wird. Die Betreiber des Online-Speicherdienstes sollten unautorisierte Zugriffe erschweren oder wenigstens deren Erkennung erleichtern, so die Forderung des Sicherheitsexperten. Es wird sich zeigen, ob Dropbox entsprechende Maßnahmen ergreift. Bis dahin ist für Nutzer des Dienstes eine starke Verschlüsselung für sensible Daten Pflicht.
Text-Quellen: Derek Newton: Information Security Insights
Annika Kremer am Freitag, 08.04.2011 19:11 Uhr
Tags:
datensicherheit
datendiebstahl
backup
cloud
dropbox
Einzige Frage: wie leicht ist es wirklich sich Zugang zu fremden Konten zu verschaffen? Wird die ID offen übertragen? Oder "verschlüsselt" mit schwachem SSL oder ähnlichem? Kann man sich eine gültige ID selbst erstellen? Du brauchst Zugriff auf die Datei. Dann k ...
Insecure by design trifft es ganz genau. Das ist kein Bug, das ist ein Feature. (Microsoft und Apple kommen ja auch damit durch.) Wenn ich soviel Komfort will wie von überall auf meine Daten zugreifen, ohne immer mein Nutzernamen und Passwort eingeben zu wollen... Nicht nur auf meine eigenen Daten, ...
Einzige für die Authentifizierung relevante Information in der config.db war offenbar der Wert "host_id".Das Ganze ist zwar unschön und ich denke Dropbox wird da nacharbeiten, dennoch kann ich die Hysterie nicht nachvollziehen. Wenn ein potentieller Angreifer Zugriff auf das eigene ...
Das ist wieder mal viel auf den Putz gehauen um sein Licht in die Sonne zu stellen. Jeder; aber auch jeder sollte heutzutage begriffen haben, das KEINE Daten im Netz sicher sind. Irgend einer hackt die Seite, den Anbieter, den Account oder auch mal wahlweise das Pentagon oder die NASA. Wer heute heu ...
man braucht kein tool installieren und dateien tauschen geht auch. Dann waren meine Infos wohl veraltet. Nichts für ungut! ...
Lars Sobiraj am 20.05.2012, 16:54 Uhr
Im US-amerikanischen iTunes Store wurden statt dem Begriff "Jailbreak" lediglich Sternchen zwischen dem Anfangs- und Endbuchstaben angezeigt. Davon waren letztlich alle Kategorien betroffen. So wurden neben Apps auch Klingeltöne, Podcasts, Musikstücke, ganze Alben und eBooks zensiert angezeigt. Laut den Untersuchungen von Shoutpedia waren mehrere Monate lang 95% aller Begriffe davon betroffen.
Kämpfe als Held in diesem einzigartigen Fantasy Game. Viele Gefahren und Abenteuer erwarten dich! 
spielen
Erschaffe deine eigene Insel und erobere die Welt. Krieg oder Wachstum - deine Strategie entscheidet! spielen
Werde Gladiator und kämpfe im antiken Zeitalter um Ruhm und Ehre. Gehe Bündnisse mit anderen Spielern ein und kämpft gemeinsam gegen die schrecklichen Barbaren. spielen
Ziehe als einsamer Waldläufer oder an der Seite von Kampfgefährten in einem Fantasy-Spiel von Abenteuer zu Abenteuer. spielen
Tritt gegen legendären Samurai aus Japan des 19. Jahrhundert an und werde der gefürchtetste aller Samurai. spielen
Tritt in eine epische Schlacht zwischen Werwölfen und Vampiren, in der nur die Stärksten überleben werden, ein. spielen
