Sicherheitsrisiko: Experte warnt vor Online-Speicher Dropbox

10. April 2011, 10:28
229 Postings

Kopie einer Datei reicht aus, um unbemerkten Zugriff auf Daten zu bekommen

In den letzten Jahren sind Online-Services zum Abgleich der eigenen Daten zwischen mehreren Rechnern immer beliebter geworden, zu den prominentesten Vertretern dieser Sparte zählt Dropbox. Mit Clients für zahlreiche Plattformen - von Windows, Mac und Linux bis zu Android, iOS und Blackerry - legt man vor allem Wert auf die besonders einfache Nutzung, die Synchronisation wird zum Kinderspiel.

Probleme

Ein Spiel, das aber durchaus so seine Gefahren birgt, wie nun der Sicherheitsexperte Derek Newton von Time Warner warnt: Bei seinen Untersuchungen des Windows-Clients sei er auf eine schwerwiegende Sicherheitslücke gestoßen: Dropbox speichert alle Informationen zur Autorisierung in einer einzigen Datei ab, nämlich in der config.db im Verzeichnis %APPDATA%\Dropbox. Das Problem dabei: Diese Einstellungen sind in keinster Weise an den jeweiligen Rechner gebunden.

Kopie

Wem es also gelingt diese Datei zu kopieren, kann sie einfach auf einen eigenen Rechner spielen und in Folge dort alle Daten vom betreffenden Dropbox-Account mitsynchronisieren. Dies noch dazu völlig unbemerkt, da die solcherart geklonte Installation nicht als neues System aufscheint. Selbst das Ändern des Passworts durch den ursprünglichen User hätte hier keine Auswirkungen, Dropbox überprüft nämlich nur die lokal vergebene ID, nicht jedes mal die konkreten Login-Daten.

Szenario

Als konkretes Angriffsszenario zeichnet Newton das Auslesen der config.db durch einen Trojaner. In Folge könnten AngreiferInnen dann den Dropbox-Account nicht nur zum Auslesen der Daten sondern auch zum Einschmuggeln von Malware auf weitere Rechner nutzen.

Warnung

Newton hat dieses Verhalten nur für die Windows-Version der Software untersucht, es ist aber durchaus wahrscheinlich, dass Client-Ausgaben für andere Betriebssysteme den gleichen Design-Fehler aufweisen. Der Sicherheitsexperte warnt als Konsequenz vor allem Unternehmen derzeit vor dem Einsatz von Dropbox. Wer nicht auf die Software verzichten will, sollte aber zumindest die Liste der verbundenen Systeme durchgehen und alles entfernen was nicht mehr benötigt wird oder potentiell kompromittiert sein könnte. Zudem sollte man kritische Daten ohnehin nur verschlüsselt abgleichen lassen. (red, derStandard.at, 10.04.11)

Der WebStandard auf Facebook

  • Artikelbild
    grafik: dropbox
Share if you care.