Dropbox
Dropbox

Onlinespeicher

Dropbox als Sicherheitsrisiko

Der Sicherheitsexperte Derek Newton hält Dropbox derzeit für ein Risiko. Wer heimlich die Konfigurationsdatei entwende, könne unentdeckt auf die Dateien zugreifen und werde auch bei einem Passwortwechsel nicht ausgesperrt.

Anzeige

Dropbox hat ein unterschätztes Sicherheitsproblem. Dieser Ansicht ist der bei Time Warner arbeitende Sicherheitsexperte Derek Newton, der aus Neugier verschiedene Dateisynchronisationstools auf mögliche Sicherheitsrisiken untersucht und gleich bei Dropbox fündig wurde.

Dropbox speichert - zumindest unter Windows - seine Konfigurationsdaten, Datei- und Verzeichnislisten, Hashtabellen und Weiteres in mehreren SQLite-Datenbank-Dateien. Newton fand heraus, dass der Dropbox-Client lediglich die in der primären Datenbank, der config.db, gespeicherte host_id zur Authentifizierung nutzt. Diese wird einem System nach der Installation und der ersten Autorisierung beim Dropbox-Onlinedienst zugewiesen.

Das Sicherheitsproblem ergibt sich laut Newton daraus, dass die config.db-Datei oder lediglich die host_id auf beliebige Rechner übertragen werden muss, um unerkannt und mit allen Rechten auf die jeweilige Dropbox zugreifen zu können. Das neue System wird automatisch den zur Synchronisation freigegebenen Rechnern zugeordnet, ohne dass eine neue Autorisierung erforderlich wäre, der Nutzer informiert würde oder das in der Liste der verbundenen Geräte zu sehen wäre.

Selbst wenn ein Nutzer zwischenzeitlich das Passwort gewechselt hat, soll sich das nicht auswirken. Die host_id bleibt trotzdem gültig. Newton hält es für möglich, dass Schadsoftware entwickelt werden kann, die nach der config.db von Dropbox Ausschau hält und anschließend unerkannt auf Dateien zugreifen und diese modifizieren oder infizieren kann.

Für den Dropbox-Nutzer gibt es dabei bisher nur die Möglichkeit, die vermutlich kompromittierten Systeme aus der Liste der autorisierten Geräte zu entfernen und neu zu autorisieren.

Newton empfiehlt derzeit, entweder ganz auf die Nutzung von Dropbox zu verzichten - oder rigoros alte Systeme aus der Liste der autorisierten Geräte zu löschen und bei vertraulichen Daten zumindest zusätzlich eine Verschlüsselung einzusetzen.

"Hoffentlich wird Dropbox bald die Notwendigkeit einer zusätzlichen Sicherheit erkennen und Schutzmechanismen hinzuzufügen, die es weniger leicht machen, auf lange Zeit einen unautorisierten Zugriff auf die Dropbox eines Nutzers zu erlangen, und außerdem bessere Mittel zum Entschärfen und Entdecken einer Gefährdung bieten", so Newton in seinem Blog. Bis dahin hofft er, dass die Dropbox-Nutzer nicht in falscher Sicherheit wiegen.


Indiana 11. Apr 2011

Gut zu wissen. Ich hab bis jetzt encfs4win genutzt :-)

stouniii 10. Apr 2011

Nachdem ich mich direkt bei Dropbox über das Problem mit der host_id gemeldet habe, habe...

likely 10. Apr 2011

Die gibt es: Aber mehr so: wie miss you. 2mal. danach kommt nichts mehr an emails.

antares 10. Apr 2011

was du meinst nennt sich One-Click-Hoster. Probiers mal hier: www.rapidshare.com oder...

antares 10. Apr 2011

und wenn die bullen den stick zupfen, oder ihn dir jemand stielt sind die Daten für...

Kommentieren


Surfe in ein anderes Blau / 21. Apr 2011

Dropbox – Probleme und Updates



Anzeige

  1. ABAP Software Entwickler (m/w)
    REALTECH Deutschland GmbH, Walldorf
  2. IT Systemberater/-in/IT Prozessberater/-in SAP / Kalkulation
    Daimler AG, Ludwigsfelde
  3. PHP Developer (m/w)
    Helpling GmbH, Berlin
  4. Junior SAP Basis Berater (m/w)
    OEDIV KG, Bielefeld

 

Detailsuche


Spiele-Angebote
  1. The Witcher 3: Wild Hunt
    44,99€ USK 18
  2. Games-Downloads Angebote
    (u. a. AC III Ezio Trilogie 11,89€, AC: Liberation HD 3,39€)
  3. PlayStation 4 - Konsole Ultimate Player 1TB Edition
    399,00€ - Release 15.07.

 

Weitere Angebote


Folgen Sie uns
       


  1. Telefonie und Internet

    Störungen bei O2 und 1und1 in Berlin

  2. Telltale

    Details und Trailer zu Minecraft Story Mode veröffentlicht

  3. Geheimdienst

    NSA spähte Dutzende Telefone der Regierung Brasiliens aus

  4. Raumfahrt

    Russisches Versorgungsschiff erreicht ISS

  5. UNHRC

    Die UNO hat einen Sonderberichterstatter für Datenschutz

  6. Nordamerika

    Arin aktiviert Wartelistensystem für IPv4-Adressen

  7. Modellreihe CUH-1200

    Neue PS4 nutzt halb so viele Speicherchips

  8. Die Woche im Video

    Apple Music gestartet, Netzneutralität bedroht, NSA geleakt

  9. Internet.org

    Mark Zuckerberg will Daten per Laser auf die Erde übertragen

  10. TLC-Flash

    Samsung plant SSDs mit 2 und 4 TByte



Haben wir etwas übersehen?

E-Mail an news@golem.de



Berliner Datenschutzbeauftragter: Jemand muss den Datenschutz sexy machen!
Berliner Datenschutzbeauftragter
Jemand muss den Datenschutz sexy machen!
  1. E-Gesundheitskarte Mangelnde Personenüberprüfung gefährdet Patientendaten
  2. EU-Ministerrat Showdown für Europas Datenschutz
  3. Umfrage E-Personalausweis im Internet kaum genutzt

Intel Compute Stick im Test: Der mit dem Lüfter streamt
Intel Compute Stick im Test
Der mit dem Lüfter streamt
  1. Management Intel-Präsidentin tritt zurück und Mobile-Chef muss gehen
  2. FPGAs Intel wird Kauf von Altera heute ankündigen
  3. FPGAs Intel will FPGA-Experten Altera doch noch kaufen

Hanson Robotics: Technik, die dir zuzwinkert
Hanson Robotics
Technik, die dir zuzwinkert
  1. VW Tödlicher Arbeitsunfall mit einem Roboter
  2. Biomimetik Gepanzerter Roboter kriecht durch Ritzen wie eine Kakerlake
  3. Darpa Robotics Challenge Hubo ist der beste Roboter für den Katastrophenfall

  1. Wozu?

    VerkaufAlles | 04:36

  2. Re: Primacom

    Sharra | 02:08

  3. Re: Und Xbox Music?

    Felix_Keyway | 02:00

  4. Re: Das verbrennen die Amis Millionen von Dollar

    mnementh | 01:57

  5. Re: easybell / berlin: Totalausfall von 22:00 bis...

    MatzeXXX | 01:46


  1. 14:50

  2. 14:34

  3. 12:32

  4. 12:17

  5. 14:04

  6. 11:55

  7. 10:37

  8. 09:33


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel