In den vergangenen Jahren ist der Online-Speicher-Service Dropbox immer wieder einmal durch schwere Sicherheitslücken in dem Service aufgefallen, die allerdings meist auch relativ flott geschlossen werden. Nun ist zwei Sicherheitsexperten gelungen die Verschlüsselung des Dropbox-Clients zu knacken und so den Python-Code, in dem die Software geschrieben ist, zu analysieren

Ausgetrickst

Dabei ist es den beiden durch die Code-Analyse gelungen gleich mehrere Sicherheitsdefizite in Dropbox aufzuspüren. So lässt sich sowohl unter Windows als auch Linux relativ einfach die Verschlüsselung der host_id knacken, die für die Abwicklung der Authentifizierung benötigt wird (und überhaupt erst seit der Version 1.2.48 des Clients verschlüsselt wird). In Kombination mit der host_int, die über eine Server-Anfrage mit der richtigen host_id ermittelt werden kann, ist es so möglich die Sicherheitssperren von Dropbox auszuhebeln.

Zwei-Wege

So können Dritte mit diesen Informationen uneingeschränkt auf die Dropbox-Daten einer Person zugreifen. Auch eine aktiviert Zwei-Wege-Authentifizierung nutzt nichts, da diese nur für den Web-Zugriff nötig ist, nicht aber vom Dropbox-Client genutzt wird.

Reaktion

In einem PDF beschreiben die beiden Forscher detailliert, wie sie für ihren Angriff vorgegangen sind. Bei Dropbox sieht man die genannten Probleme nicht als relevante Sicherheitslücken an, wie Golem berichtet. AngreiferInnen müssten sich für dieses Szenario Zugriff auf einen Rechner verschaffen, wodurch ohnehin alle Daten offenliegen würden. (red, derStandard.at, 30.08.13)