Abo
  • Services:
Anzeige
Hacker haben den Code des Dropbox-Clients entschlüsselt.
Hacker haben den Code des Dropbox-Clients entschlüsselt. (Bild: Dropbox)

Filehosting Dropbox-Client entschlüsselt

Sicherheitsforscher haben den in Python geschriebenen Dropbox-Client entschlüsselt und ihre Ergebnisse veröffentlicht. Damit offenbaren sie potentielle Sicherheitslücken - auch für andere Software.

Anzeige

Den Sicherheitsexperten Dhiru Kholia und Przemyslaw Wegrzyn ist es gelungen, den verschlüsselten Python-Code des Dropbox-Clients zu entschlüsseln und zu analysieren. Dabei entdeckten sie auch, wie die zweifache Authentifizierung des Filehosters zu umgehen ist und wie fremde Dropbox-Konten übernommen werden können, sofern ein Angreifer die entsprechenden Zugangsdaten von einem Rechner erbeuten kann. Das ist allerdings ziemlich aufwendig.

Die beiden Forscher erwähnen aber auch, dass mit jeder neuen Version des Dropbox-Clients die Sicherheit erhöht wird. Bisherige Schwachstellen seien schnell beseitigt worden, nachdem die beiden Forscher das Unternehmen darauf aufmerksam gemacht hätten. Dropbox hatte in der Vergangenheit mehrfach mit Schwachstellen zu kämpfen.

Datenbank entschlüsselt

Die beiden Forscher untersuchten die Authentifizierung, die über die sogenannte host_id und die host_int erfolgt. Bis Version 1.2.48 wurde host_id unverschlüsselt in der als Datei abgelegten SQLite-Datenbank Config.db gespeichert. Dieser Wert wird einmalig bei der Installation generiert und wird auch später dann nicht geändert, etwa wenn das Passwort neu gesetzt wird.

Seit Version 1.2.48 wird die Datenbankdatei verschlüsselt. Die für die Verschlüsselung verwendeten "Secrets" lägen aber den Installationsdateien bei. Ohne diese würde der Dropbox-Client nicht funktionieren. Die Datei Keystore_linux.py in der Linux-Version des Dropbox-Clients enthält die entsprechenden Befehle für die Verschlüsselung. Dort lässt sich die Datei Config.dbx, die die host_id enthält, mit der Anwendung Dbx-keygen-linux auslesen.

Sicherer unter Windows

Unter Windows wird die SQLite-Datenbank mit der Windows-eigenen Verschlüsselungsschnittstelle Data Protection API (DPAPI) verschlüsselt. Daher mussten die Forscher einen anderen Weg suchen, um dessen Wert zu ermitteln. Im Debug-Modus schreibt der Dropbox-Client Logfiles im Klartext. Dort wird auch die host_id eingetragen. Der Debug-Modus war in älteren Dropbox-Versionen nur durch eine partielle Md5-Summe geschützt. Seit Version 2.0 wird der vollständige SHA-256-Hash benötigt.

Um an die host_id unter Windows zu kommen, haben die Hacker versucht, eine Man-in-the-Middle-Attacke auf den verschlüsselten Datenverkehr zwischen Client und Server zu fahren. Dabei fanden sie heraus, dass herkömmliche Hackerwerkzeuge nicht in der Lage sind, die SSL-Verbindung abzuhören. Die SSL-Zertifikate sind hart kodiert und die verwendete SSL-Bibliothek ist mit der ausführbaren Binärdatei statisch verlinkt. Daher ist das Patchen der Datei zwar möglich, aber äußerst zeitaufwendig.

Code-Injection per Monkey Patching

Die beiden Forscher haben stattdessen per Monkey Patching die entsprechenden SSL-Objekte verändert. Dabei nutzen sie Reflective DLL Injection unter Windows und LD-PRELOAD unter Linux, um Zugriff auf die relevanten Objekte im Speicher zu erhalten. Danach konnten sie die versendeten Daten einsehen, bevor sie verschlüsselt wurden. Diese Technik lässt sich allerdings nicht nur mit dem Python-Code des Dropbox-Clients anwenden, sondern auch mit weiteren dynamischen Skriptsprachen wie Ruby, Perl oder Javascript.

Die zusätzlich benötigte host_int wird beim Start des Dropbox-Clients vom Server übermittelt und ändert sich dann nicht mehr. Sie lässt sich beispielsweise durch eine Anfrage mit der host_id beim Dropbox-Server ermitteln, etwa auch über ein unverschlüsseltes WLAN. Hat ein Angreifer beide Werte, kann er jederzeit auf die Dropbox-Daten eines Opfers zugreifen, etwa indem er einen Weblink generiert.

Diese zweifache Authentifizierung werde nur für den Zugriff auf die Dropbox-Webseite benötigt, schreiben die Forscher. Der Dropbox-Client selbst verwendet sie nicht. Damit werde impliziert, dass weiterhin nur der Wert der host_id benötigt wird, um an die Daten eine Opfers zu gelangen.

Bytecode wird Open Source 

eye home zur Startseite
Julius Csar 17. Sep 2013

Ja, bei Binärdaten ist es generell mehr als schwierig, die Unterschiede zu erkennen. Ein...

Anonymer Nutzer 31. Aug 2013

wenn's wenigstens ne volle 365 umdrehung gewesen wäre ;p

IT.Gnom 30. Aug 2013

Sorry, hast recht, ich habe jemanden ganz anderen geantwortet. Ist ganz seltsam, da...

Neutrinoseuche 30. Aug 2013

Windows wird von so ziemlich jedem genutzt. Dropbox ist nur einer von vielen Diensten...

jokey2k 29. Aug 2013

http://archive.hack.lu/2012/Dropbox%20security.pdf ohne weitere worte



Anzeige

Stellenmarkt
  1. Kommunale Datenverarbeitung Oldenburg (KDO), Oldenburg
  2. Allianz Deutschland AG, München-Unterföhring
  3. Broetje-Automation, Rastede
  4. über Hanseatisches Personalkontor Kassel, Kassel


Anzeige
Top-Angebote
  1. 368,99€
  2. 680,54€
  3. (alle Angebote versandkostenfrei, u. a. Medion Erazer X7843 17.3"-Gaming-Notebook mit i7-6820HK...

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Sicherheitsrisiken bei der Dateifreigabe & -Synchronisation
  2. Praxiseinsatz, Nutzen und Grenzen von Hadoop und Data Lakes
  3. Globale SAP-Anwendungsunterstützung durch Outsourcing


  1. Automute

    Stummschalten beim Ausstöpseln der Kopfhörer

  2. Neue Hardwaregeneration

    Tesla-Autopilot 2.0 nur bis 72 km/h aktiv

  3. Digitale Assistenten

    LG hat für das G6 mit Google und Amazon verhandelt

  4. Instant Tethering

    Googles automatischer WLAN-Hotspot

  5. 5G-Mobilfunk

    Netzbetreiber erhalten Hilfe bei Suche nach Funkmastplätzen

  6. Tinker-Board

    Asus bringt Raspberry-Pi-Klon

  7. Privatsphäre

    Verschlüsselter E-Mail-Dienst Lavabit kommt wieder

  8. Potus

    Donald Trump übernimmt präsidiales Twitter-Konto

  9. Funkchips

    Apple klagt gegen Qualcomm

  10. Die Woche im Video

    B/ow the Wh:st/e!



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Macbook Pro 13 mit Touch Bar im Test: Schöne Enttäuschung!
Macbook Pro 13 mit Touch Bar im Test
Schöne Enttäuschung!
  1. Schwankende Laufzeiten Warentester ändern Akku-Bewertung des Macbook Pro
  2. Consumer Reports Safari-Bug verursachte schwankende Macbook-Pro-Laufzeiten
  3. Notebook Apple will Akkuprobleme beim Macbook Pro nochmal untersuchen

GPD Win im Test: Crysis in der Hosentasche
GPD Win im Test
Crysis in der Hosentasche
  1. Samsungs Bixby Galaxy S8 kann sehen und erkennen
  2. Smartphones Textnachricht legt iPhone zeitweise lahm
  3. Tastaturhülle Canopy hält Magic Keyboard und iPad zum Arbeiten zusammen

Bundestagswahl 2017: Verschont uns mit Digitalisierungs-Blabla 4.0!
Bundestagswahl 2017
Verschont uns mit Digitalisierungs-Blabla 4.0!
  1. Bundestagswahlkampf 2017 Die große Angst vor dem Internet
  2. Hackerangriffe BSI will Wahlmanipulationen bekämpfen

  1. Re: Dreh und Angelpunkt: Treiber & Software...

    sodom1234 | 07:14

  2. Re: Hyperloop BUSTED!

    Alexspeed | 07:05

  3. Re: "Derzeit suchen viele Bundesbehörden...

    sodom1234 | 06:38

  4. Re: Nicht nur auf dem Land

    Spaghetticode | 06:28

  5. Re: wo ist das Problem?

    timo.w.strauss | 06:23


  1. 07:26

  2. 07:14

  3. 11:29

  4. 10:37

  5. 10:04

  6. 16:49

  7. 14:09

  8. 12:44


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel