Abo
  • Services:

Bytecode wird Open Source

Um den Dropbox-Client zu analysieren, mussten die beiden Forscher zunächst dessen Python-Bytecode entschlüsseln. Statt jedoch die von Dropbox verwendete Verschlüsselungstechnik zu knacken, extrahierten sie kurzerhand die dafür verantwortliche und von Dropbox angepasste Python27.dll mit Hilfe des PE-Explorers. Zunächst ermittelten sie, wie Dropbox mit Magic Numbers umgeht, und nutzten dann die angepasste Funktion r_object, um mit Hilfe der extrahierten DLL-Datei den Code per Dump zu speichern.

Stellenmarkt
  1. MDK Baden-Württemberg Medizinischer Dienst der Krankenversicherung, Lahr
  2. Yves Rocher, Stuttgart Vaihingen

Allerdings funktioniert dieser Hack nicht unter Linux und ist auch unter Windows nur sehr mühsam, also suchten die beiden Hacker nach einem anderen Weg. Sie entdeckten, dass die Python-C-API-Funktion PyRun_SimpleString funktioniert. Damit konnten sie beliebigen Code im Kontext des Dropbox-Clients ausführen, unter anderem die Funktion PyMarshal_ReadLastObjectFromFile(), mit der die Hacker bereits entschlüsselte Code-Objekte in den Speicher laden konnten. Von dort aus deserialisierten sie den Code mit Hilfe von PyPys _marshal.py. Mit dieser Technik lassen sich ähnlich programmierte Clients wie der für Google Drive ebenfalls entschlüsseln und analysieren.

Dropbox dekompiliert

Dropbox verwendet aber weitere Techniken, um den Python-Code vor Reverse-Engineering zu schützen, etwa Opcode-Remapping. Dazu verwendeten Kholia und Wegrzyn eine Mapping-Tabelle, die zuvor unter anderem mit Hilfe des Debuggers Pyretic erstellt wurde. Die Tabelle habe sich seit Version 1.6.0 des Clients nicht verändert, schreiben die Forscher. Schließlich konnten sie den erbeuteten Python-Bytecode mit dem Decompiler Uncompyle2 in den ursprünglichen Quellcode zurückverwandeln.

Künftig wollen Kholia und Wegrzyn versuchen einen Open-Source-Client für Dropbox zu entwickeln. Zunächst möchten sie herausfinden, ob er sich aus den von ihnen zurückverwandelte Quellcode zusammenbauen lässt. Außerdem wollen sie noch weiteren Schwachstellen im Dropbox-Client suchen.

Dropbox bedankt sich

Ein PDF beschreibt die Ergebnisse ihrer Forschung im Detail. Außerdem haben die beiden Forscher die Folien ihrer Präsentation auf der Konferenz Woot 2013 online gestellt. Ein Video von der Präsentation gibt es ebenfalls.

Auf Anfrage von Golem.de teilte Dropbox mit, dass die Ergebnisse der beiden Forscher keine relevanten Sicherheitslücken im Dropbox-Client offenbart hätten. In dem geschilderten Fall müssten Angreifer sich Zugang zum Rechner eines Opfers verschaffen. Damit wären dann nicht nur dessen Dateien in der Dropbox kompromittiert, sondern sämtliche Daten auf dessen Rechner. Dropbox sei aber dankbar für alle Beiträge, die dazu dienen, Dropbox sicher zu machen.

 Filehosting: Dropbox-Client entschlüsselt
  1.  
  2. 1
  3. 2


Anzeige
Top-Angebote
  1. (aktuell u. a. Samsung 860 Evo 500-GB-SSD 119€, externer DVD-Brenner 25€, 2-TB-HDD extern 66€)
  2. 99,99€
  3. 1.649€ mit Core i5-8600K und jetzt neu für 1.749€ mit i7-8700K

Julius Csar 17. Sep 2013

Ja, bei Binärdaten ist es generell mehr als schwierig, die Unterschiede zu erkennen. Ein...

Anonymer Nutzer 31. Aug 2013

wenn's wenigstens ne volle 365 umdrehung gewesen wäre ;p

IT.Gnom 30. Aug 2013

Sorry, hast recht, ich habe jemanden ganz anderen geantwortet. Ist ganz seltsam, da...

Neutrinoseuche 30. Aug 2013

Windows wird von so ziemlich jedem genutzt. Dropbox ist nur einer von vielen Diensten...

jokey2k 29. Aug 2013

http://archive.hack.lu/2012/Dropbox%20security.pdf ohne weitere worte


Folgen Sie uns
       


Intel NUC8 - Test

Winzig und kraftvoll: der NUC8 alias Hades Canyon.

Intel NUC8 - Test Video aufrufen
Datenverkauf bei Kommunen: Öffentliche Daten nicht verhökern, sondern sinnvoll nutzen
Datenverkauf bei Kommunen
Öffentliche Daten nicht verhökern, sondern sinnvoll nutzen

Der Städte- und Gemeindebund hat vorgeschlagen, Kommunen sollten ihre Daten verkaufen. Wie man es auch dreht und wendet: Es bleibt eine schlechte Idee.
Ein IMHO von Michael Peters und Walter Palmetshofer

  1. Gerichtsurteil Kein Recht auf anonyme IFG-Anfrage in Rheinland-Pfalz
  2. CDLA Linux Foundation veröffentlicht Open-Data-Lizenzen
  3. Deutscher Wetterdienst Wetterdaten sind jetzt Open Data

BeA: Rechtsanwaltsregister wegen Sicherheitslücke abgeschaltet
BeA
Rechtsanwaltsregister wegen Sicherheitslücke abgeschaltet

Das deutsche Rechtsanwaltsregister hat eine schwere Sicherheitslücke. Schuld daran ist eine veraltete Java-Komponente, die für einen Padding-Oracle-Angriff verwundbar ist. Das Rechtsanwaltsregister ist Teil des besonderen elektronischen Anwaltspostfachs, war aber anders als dieses weiterhin online.
Eine Exklusivmeldung von Hanno Böck

  1. BeA Secunet findet noch mehr Lücken im Anwaltspostfach
  2. EGVP Empfangsbestätigungen einer Klage sind verwertbar
  3. BeA Anwälte wollen Ende-zu-Ende-Verschlüsselung einklagen

HTC Vive Pro im Test: Das beste VR-Headset ist nicht der beste Kauf
HTC Vive Pro im Test
Das beste VR-Headset ist nicht der beste Kauf

Höhere Auflösung, integrierter Kopfhörer und ein sehr bequemer Kopfbügel: Das HTC Vive Pro macht alles besser und gilt für uns als das beste VR-Headset, das wir bisher ausprobiert haben. Allerdings ist der Preis dafür so hoch, dass kaufen meist keine clevere Entscheidung ist.
Ein Test von Oliver Nickel

  1. VR-Headset HTCs Vive Pro kostet 880 Euro
  2. HTC Vive Pro ausprobiert VR-Headset hat mehr Pixel und Komfort
  3. Vive Focus HTC stellt autarkes VR-Headset vor

    •  /