Abo
  • IT-Karriere:

Bytecode wird Open Source

Um den Dropbox-Client zu analysieren, mussten die beiden Forscher zunächst dessen Python-Bytecode entschlüsseln. Statt jedoch die von Dropbox verwendete Verschlüsselungstechnik zu knacken, extrahierten sie kurzerhand die dafür verantwortliche und von Dropbox angepasste Python27.dll mit Hilfe des PE-Explorers. Zunächst ermittelten sie, wie Dropbox mit Magic Numbers umgeht, und nutzten dann die angepasste Funktion r_object, um mit Hilfe der extrahierten DLL-Datei den Code per Dump zu speichern.

Stellenmarkt
  1. Freiberger Lebensmittel GmbH & Co. Produktions- und Vertriebs KG, Berlin
  2. Bausch & Lomb GmbH, Heidelberg

Allerdings funktioniert dieser Hack nicht unter Linux und ist auch unter Windows nur sehr mühsam, also suchten die beiden Hacker nach einem anderen Weg. Sie entdeckten, dass die Python-C-API-Funktion PyRun_SimpleString funktioniert. Damit konnten sie beliebigen Code im Kontext des Dropbox-Clients ausführen, unter anderem die Funktion PyMarshal_ReadLastObjectFromFile(), mit der die Hacker bereits entschlüsselte Code-Objekte in den Speicher laden konnten. Von dort aus deserialisierten sie den Code mit Hilfe von PyPys _marshal.py. Mit dieser Technik lassen sich ähnlich programmierte Clients wie der für Google Drive ebenfalls entschlüsseln und analysieren.

Dropbox dekompiliert

Dropbox verwendet aber weitere Techniken, um den Python-Code vor Reverse-Engineering zu schützen, etwa Opcode-Remapping. Dazu verwendeten Kholia und Wegrzyn eine Mapping-Tabelle, die zuvor unter anderem mit Hilfe des Debuggers Pyretic erstellt wurde. Die Tabelle habe sich seit Version 1.6.0 des Clients nicht verändert, schreiben die Forscher. Schließlich konnten sie den erbeuteten Python-Bytecode mit dem Decompiler Uncompyle2 in den ursprünglichen Quellcode zurückverwandeln.

Künftig wollen Kholia und Wegrzyn versuchen einen Open-Source-Client für Dropbox zu entwickeln. Zunächst möchten sie herausfinden, ob er sich aus den von ihnen zurückverwandelte Quellcode zusammenbauen lässt. Außerdem wollen sie noch weiteren Schwachstellen im Dropbox-Client suchen.

Dropbox bedankt sich

Ein PDF beschreibt die Ergebnisse ihrer Forschung im Detail. Außerdem haben die beiden Forscher die Folien ihrer Präsentation auf der Konferenz Woot 2013 online gestellt. Ein Video von der Präsentation gibt es ebenfalls.

Auf Anfrage von Golem.de teilte Dropbox mit, dass die Ergebnisse der beiden Forscher keine relevanten Sicherheitslücken im Dropbox-Client offenbart hätten. In dem geschilderten Fall müssten Angreifer sich Zugang zum Rechner eines Opfers verschaffen. Damit wären dann nicht nur dessen Dateien in der Dropbox kompromittiert, sondern sämtliche Daten auf dessen Rechner. Dropbox sei aber dankbar für alle Beiträge, die dazu dienen, Dropbox sicher zu machen.

 Filehosting: Dropbox-Client entschlüsselt
  1.  
  2. 1
  3. 2


Anzeige
Hardware-Angebote
  1. 299,00€
  2. 245,90€ + Versand
  3. täglich neue Deals bei Alternate.de
  4. 72,99€ (Release am 19. September)

Julius Csar 17. Sep 2013

Ja, bei Binärdaten ist es generell mehr als schwierig, die Unterschiede zu erkennen. Ein...

Anonymer Nutzer 31. Aug 2013

wenn's wenigstens ne volle 365 umdrehung gewesen wäre ;p

IT.Gnom 30. Aug 2013

Sorry, hast recht, ich habe jemanden ganz anderen geantwortet. Ist ganz seltsam, da...

Neutrinoseuche 30. Aug 2013

Windows wird von so ziemlich jedem genutzt. Dropbox ist nur einer von vielen Diensten...

jokey2k 29. Aug 2013

http://archive.hack.lu/2012/Dropbox%20security.pdf ohne weitere worte


Folgen Sie uns
       


ANC-Kopfhörer im Lautstärkevergleich

Wir haben Microsofts Surface Headphones und die Jabra Elite 85h bei der ANC-Leistung verglichen. Für einen besseren Vergleich zeigen wir auch die besonders leistungsfähigen ANC-Kopfhörer von Sony und Bose, die WH-1000XM3 und die Quiet Comfort 35 II.

ANC-Kopfhörer im Lautstärkevergleich Video aufrufen
Kontist, N26, Holvi: Neue Banking-Apps machen gute Angebote für Freelancer
Kontist, N26, Holvi
Neue Banking-Apps machen gute Angebote für Freelancer

Ein mobiles und dazu noch kostenloses Geschäftskonto für Freiberufler versprechen Startups wie Kontist, N26 oder Holvi. Doch sind die Newcomer eine Alternative zu den Freelancer-Konten der großen Filialbanken? Ja, sind sie - mit einer kleinen Einschränkung.
Von Björn König


    Strom-Boje Mittelrhein: Schwimmende Kraftwerke liefern Strom aus dem Rhein
    Strom-Boje Mittelrhein
    Schwimmende Kraftwerke liefern Strom aus dem Rhein

    Ein Unternehmen aus Bingen will die Strömung des Rheins nutzen, um elektrischen Strom zu gewinnen. Es installiert 16 schwimmende Kraftwerke in der Nähe des bekannten Loreley-Felsens.

    1. Speicherung von Überschussstrom Wasserstoff soll bei Engpässen helfen
    2. Energiewende DLR-Forscher bauen Kohlekraftwerke zu Stromspeichern um
    3. Erneuerbare Energien Wellenkraft als Konzentrat

    Oneplus 7 Pro im Hands on: Neue Konkurrenz für die Smartphone-Oberklasse
    Oneplus 7 Pro im Hands on
    Neue Konkurrenz für die Smartphone-Oberklasse

    Parallel zum Oneplus 7 hat das chinesische Unternehmen Oneplus auch das besser ausgestattete Oneplus 7 Pro vorgestellt. Das Smartphone ist mit seiner Kamera mit drei Objektiven für alle Fotosituationen gewappnet und hat eine ausfahrbare Frontkamera - das hat aber seinen Preis.
    Ein Hands on von Ingo Pakalski

    1. Oneplus Upgrade auf Android 9 für Oneplus 3 und 3T wird verteilt
    2. Smartphones Android-Q-Beta für Oneplus-7-Modelle veröffentlicht
    3. Oneplus 7 Pro im Test Spitzenplatz dank Dreifachkamera

      •  /