• IT-Karriere:
  • Services:

Onlinespeicher

Dropbox als Sicherheitsrisiko

Der Sicherheitsexperte Derek Newton hält Dropbox derzeit für ein Risiko. Wer heimlich die Konfigurationsdatei entwende, könne unentdeckt auf die Dateien zugreifen und werde auch bei einem Passwortwechsel nicht ausgesperrt.

Artikel veröffentlicht am ,
Dropbox
Dropbox

Dropbox hat ein unterschätztes Sicherheitsproblem. Dieser Ansicht ist der bei Time Warner arbeitende Sicherheitsexperte Derek Newton, der aus Neugier verschiedene Dateisynchronisationstools auf mögliche Sicherheitsrisiken untersucht und gleich bei Dropbox fündig wurde.

Stellenmarkt
  1. Verwaltungs-Berufsgenossenschaft VBG gesetzliche Unfallversicherung, Hamburg
  2. BWI GmbH, deutschlandweit

Dropbox speichert - zumindest unter Windows - seine Konfigurationsdaten, Datei- und Verzeichnislisten, Hashtabellen und Weiteres in mehreren SQLite-Datenbank-Dateien. Newton fand heraus, dass der Dropbox-Client lediglich die in der primären Datenbank, der config.db, gespeicherte host_id zur Authentifizierung nutzt. Diese wird einem System nach der Installation und der ersten Autorisierung beim Dropbox-Onlinedienst zugewiesen.

Das Sicherheitsproblem ergibt sich laut Newton daraus, dass die config.db-Datei oder lediglich die host_id auf beliebige Rechner übertragen werden muss, um unerkannt und mit allen Rechten auf die jeweilige Dropbox zugreifen zu können. Das neue System wird automatisch den zur Synchronisation freigegebenen Rechnern zugeordnet, ohne dass eine neue Autorisierung erforderlich wäre, der Nutzer informiert würde oder das in der Liste der verbundenen Geräte zu sehen wäre.

Selbst wenn ein Nutzer zwischenzeitlich das Passwort gewechselt hat, soll sich das nicht auswirken. Die host_id bleibt trotzdem gültig. Newton hält es für möglich, dass Schadsoftware entwickelt werden kann, die nach der config.db von Dropbox Ausschau hält und anschließend unerkannt auf Dateien zugreifen und diese modifizieren oder infizieren kann.

Für den Dropbox-Nutzer gibt es dabei bisher nur die Möglichkeit, die vermutlich kompromittierten Systeme aus der Liste der autorisierten Geräte zu entfernen und neu zu autorisieren.

Newton empfiehlt derzeit, entweder ganz auf die Nutzung von Dropbox zu verzichten - oder rigoros alte Systeme aus der Liste der autorisierten Geräte zu löschen und bei vertraulichen Daten zumindest zusätzlich eine Verschlüsselung einzusetzen.

"Hoffentlich wird Dropbox bald die Notwendigkeit einer zusätzlichen Sicherheit erkennen und Schutzmechanismen hinzuzufügen, die es weniger leicht machen, auf lange Zeit einen unautorisierten Zugriff auf die Dropbox eines Nutzers zu erlangen, und außerdem bessere Mittel zum Entschärfen und Entdecken einer Gefährdung bieten", so Newton in seinem Blog. Bis dahin hofft er, dass die Dropbox-Nutzer nicht in falscher Sicherheit wiegen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. 69,99€
  2. 25,99€
  3. 48,99€

Indiana 11. Apr 2011

Gut zu wissen. Ich hab bis jetzt encfs4win genutzt :-)

stouniii 10. Apr 2011

Nachdem ich mich direkt bei Dropbox über das Problem mit der host_id gemeldet habe, habe...

likely 10. Apr 2011

Die gibt es: Aber mehr so: wie miss you. 2mal. danach kommt nichts mehr an emails.

antares 10. Apr 2011

was du meinst nennt sich One-Click-Hoster. Probiers mal hier: www.rapidshare.com oder...

antares 10. Apr 2011

und wenn die bullen den stick zupfen, oder ihn dir jemand stielt sind die Daten für...


Folgen Sie uns
       


Patrick Schlegels Visitenkarte spielt Musik und würfelt

Eine Visitenkarte muss nicht immer aus langweiligem Papier sein. Patrick Schlegels Visitenkarte hat einen USB-Speicher, spielt Musik und kann würfeln.

Patrick Schlegels Visitenkarte spielt Musik und würfelt Video aufrufen
Disney+: Surround-Ton nur auf drei Fire-TV-Modellen
Disney+
Surround-Ton nur auf drei Fire-TV-Modellen

Disney+ bietet auf den meisten Fire-TV-Modellen nur Stereoklang.
Von Ingo Pakalski

  1. Videostreaming Disney+ hat 50 Millionen Abonnenten weltweit
  2. Disney+ Die Simpsons erscheinen im Mai im korrekten Seitenverhältnis
  3. Disney+ im Nachtest Lücken im Sortiment und technische Probleme

CPU-Fertigung: Intel hat ein Netburst-Déjà-vu
CPU-Fertigung
Intel hat ein Netburst-Déjà-vu

Über Jahre hinweg Takt und Kerne ans Limit treiben - das wurde Intel einst schon beim Pentium 4 zum Verhängnis.
Eine Analyse von Marc Sauter

  1. Maxlinear Intel verkauft Konzernbereich
  2. Comet Lake H Intel geht den 5-GHz-Weg
  3. Security Das Intel-ME-Chaos kommt

Bodyhacking: Prothese statt Drehregler
Bodyhacking
Prothese statt Drehregler

Bertolt Meyer hat seine Handprothese mit einem Synthesizer verbunden - das Youtube-Video dazu hat viele interessiert. Wie haben mit dem Psychologieprofessor über sein Projekt und die Folgen des Videos gesprochen.
Ein Interview von Tobias Költzsch


      •  /