Abo
  • Services:
Anzeige
Dropbox
Dropbox

Onlinespeicher

Dropbox als Sicherheitsrisiko

Der Sicherheitsexperte Derek Newton hält Dropbox derzeit für ein Risiko. Wer heimlich die Konfigurationsdatei entwende, könne unentdeckt auf die Dateien zugreifen und werde auch bei einem Passwortwechsel nicht ausgesperrt.

Dropbox hat ein unterschätztes Sicherheitsproblem. Dieser Ansicht ist der bei Time Warner arbeitende Sicherheitsexperte Derek Newton, der aus Neugier verschiedene Dateisynchronisationstools auf mögliche Sicherheitsrisiken untersucht und gleich bei Dropbox fündig wurde.

Anzeige

Dropbox speichert - zumindest unter Windows - seine Konfigurationsdaten, Datei- und Verzeichnislisten, Hashtabellen und Weiteres in mehreren SQLite-Datenbank-Dateien. Newton fand heraus, dass der Dropbox-Client lediglich die in der primären Datenbank, der config.db, gespeicherte host_id zur Authentifizierung nutzt. Diese wird einem System nach der Installation und der ersten Autorisierung beim Dropbox-Onlinedienst zugewiesen.

Das Sicherheitsproblem ergibt sich laut Newton daraus, dass die config.db-Datei oder lediglich die host_id auf beliebige Rechner übertragen werden muss, um unerkannt und mit allen Rechten auf die jeweilige Dropbox zugreifen zu können. Das neue System wird automatisch den zur Synchronisation freigegebenen Rechnern zugeordnet, ohne dass eine neue Autorisierung erforderlich wäre, der Nutzer informiert würde oder das in der Liste der verbundenen Geräte zu sehen wäre.

Selbst wenn ein Nutzer zwischenzeitlich das Passwort gewechselt hat, soll sich das nicht auswirken. Die host_id bleibt trotzdem gültig. Newton hält es für möglich, dass Schadsoftware entwickelt werden kann, die nach der config.db von Dropbox Ausschau hält und anschließend unerkannt auf Dateien zugreifen und diese modifizieren oder infizieren kann.

Für den Dropbox-Nutzer gibt es dabei bisher nur die Möglichkeit, die vermutlich kompromittierten Systeme aus der Liste der autorisierten Geräte zu entfernen und neu zu autorisieren.

Newton empfiehlt derzeit, entweder ganz auf die Nutzung von Dropbox zu verzichten - oder rigoros alte Systeme aus der Liste der autorisierten Geräte zu löschen und bei vertraulichen Daten zumindest zusätzlich eine Verschlüsselung einzusetzen.

"Hoffentlich wird Dropbox bald die Notwendigkeit einer zusätzlichen Sicherheit erkennen und Schutzmechanismen hinzuzufügen, die es weniger leicht machen, auf lange Zeit einen unautorisierten Zugriff auf die Dropbox eines Nutzers zu erlangen, und außerdem bessere Mittel zum Entschärfen und Entdecken einer Gefährdung bieten", so Newton in seinem Blog. Bis dahin hofft er, dass die Dropbox-Nutzer nicht in falscher Sicherheit wiegen.


eye home zur Startseite
Indiana 11. Apr 2011

Gut zu wissen. Ich hab bis jetzt encfs4win genutzt :-)

stouniii 10. Apr 2011

Nachdem ich mich direkt bei Dropbox über das Problem mit der host_id gemeldet habe, habe...

likely 10. Apr 2011

Die gibt es: Aber mehr so: wie miss you. 2mal. danach kommt nichts mehr an emails.

antares 10. Apr 2011

was du meinst nennt sich One-Click-Hoster. Probiers mal hier: www.rapidshare.com oder...

antares 10. Apr 2011

und wenn die bullen den stick zupfen, oder ihn dir jemand stielt sind die Daten für...


Surfe in ein anderes Blau / 21. Apr 2011

Dropbox – Probleme und Updates



Anzeige

Stellenmarkt
  1. Laube Automobile GmbH, Weischlitz
  2. DMG MORI Systems GmbH, Wernau (Neckar)
  3. Haufe Akademie GmbH & Co. KG, Freiburg im Breisgau
  4. Robert Bosch GmbH, Stuttgart


Anzeige
Hardware-Angebote
  1. 49,90€
  2. ab 229,00€
  3. (täglich neue Deals)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Tipps für IT-Engagement in Fernost
  2. Mit digitalen Workflows Geschäftsprozesse agiler machen
  3. Mehr dazu im aktuellen Whitepaper von IBM


  1. Autonomes Fahren

    Suchmaschinenkonzern Yandex baut fahrerlosen Bus

  2. No Man's Sky

    Steam wehrt sich gegen Erstattungen

  3. Electronic Arts

    Battlefield 1 setzt Gold, aber nicht Plus voraus

  4. Kaby Lake

    Intel stellt neue Chips für Mini-PCs und Ultrabooks vor

  5. Telefonnummern für Facebook

    Threema profitiert von Whatsapp-Datenaustausch

  6. Browser

    Google Cast ist nativ in Chrome eingebaut

  7. Master of Orion im Kurztest

    Geradlinig wie der Himmelsäquator

  8. EU-Kommission

    Apple soll 13 Milliarden Euro an Steuern nachzahlen

  9. Videocodec

    Für Netflix ist H.265 besser als VP9

  10. Weltraumforschung

    DFKI-Roboter soll auf dem Jupitermond Europa abtauchen



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Galaxy Note 7 im Test: Schaut dir in die Augen, Kleine/r/s!
Galaxy Note 7 im Test
Schaut dir in die Augen, Kleine/r/s!
  1. Samsung Display des Galaxy Note 7 ist offenbar nicht kratzfest
  2. PM1643 & PM1735 Samsung zeigt V-NAND v4 und drei Rekord-SSDs
  3. Gear IconX im Test Anderthalb Stunden Trainingsspaß

Xfel: Riesenkamera nimmt Filme von Atomen auf
Xfel
Riesenkamera nimmt Filme von Atomen auf
  1. US Air Force Modifikation der Ionosphäre soll Funk verbessern
  2. Teilchenbeschleuniger Mögliches neues Boson weist auf fünfte Fundamentalkraft hin
  3. Materialforschung Glas wechselt zwischen durchsichtig und schwarz

Deus Ex Mankind Divided im Test: Der Agent aus dem Hardwarelabor
Deus Ex Mankind Divided im Test
Der Agent aus dem Hardwarelabor
  1. Summit Ridge AMDs Zen-Chip ist so schnell wie Intels 1.000-Euro-Core-i7
  2. Doom Denuvo schützt offenbar nicht mehr
  3. Deus Ex angespielt Eine Steuerung für fast jeden Agenten

  1. Re: Wie bescheuert muss man eigentlich sein

    Erny | 03:37

  2. Ein paar Fragen

    spyro2000 | 03:26

  3. Re: Gibt es eigentlich ein DFKI Projekt...

    attitudinized | 03:11

  4. Re: Das Spiel ist okay (auf der PS4)

    hw75 | 03:03

  5. Re: Sommerloch, hm? Oder wollte der Autor sich in...

    xmaniac | 03:02


  1. 17:39

  2. 17:19

  3. 15:32

  4. 15:01

  5. 14:57

  6. 14:24

  7. 14:00

  8. 12:59


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel