Abo
  • Services:
Anzeige
Hacker haben den Code des Dropbox-Clients entschlüsselt.
Hacker haben den Code des Dropbox-Clients entschlüsselt. (Bild: Dropbox)

Filehosting Dropbox-Client entschlüsselt

Sicherheitsforscher haben den in Python geschriebenen Dropbox-Client entschlüsselt und ihre Ergebnisse veröffentlicht. Damit offenbaren sie potentielle Sicherheitslücken - auch für andere Software.

Anzeige

Den Sicherheitsexperten Dhiru Kholia und Przemyslaw Wegrzyn ist es gelungen, den verschlüsselten Python-Code des Dropbox-Clients zu entschlüsseln und zu analysieren. Dabei entdeckten sie auch, wie die zweifache Authentifizierung des Filehosters zu umgehen ist und wie fremde Dropbox-Konten übernommen werden können, sofern ein Angreifer die entsprechenden Zugangsdaten von einem Rechner erbeuten kann. Das ist allerdings ziemlich aufwendig.

Die beiden Forscher erwähnen aber auch, dass mit jeder neuen Version des Dropbox-Clients die Sicherheit erhöht wird. Bisherige Schwachstellen seien schnell beseitigt worden, nachdem die beiden Forscher das Unternehmen darauf aufmerksam gemacht hätten. Dropbox hatte in der Vergangenheit mehrfach mit Schwachstellen zu kämpfen.

Datenbank entschlüsselt

Die beiden Forscher untersuchten die Authentifizierung, die über die sogenannte host_id und die host_int erfolgt. Bis Version 1.2.48 wurde host_id unverschlüsselt in der als Datei abgelegten SQLite-Datenbank Config.db gespeichert. Dieser Wert wird einmalig bei der Installation generiert und wird auch später dann nicht geändert, etwa wenn das Passwort neu gesetzt wird.

Seit Version 1.2.48 wird die Datenbankdatei verschlüsselt. Die für die Verschlüsselung verwendeten "Secrets" lägen aber den Installationsdateien bei. Ohne diese würde der Dropbox-Client nicht funktionieren. Die Datei Keystore_linux.py in der Linux-Version des Dropbox-Clients enthält die entsprechenden Befehle für die Verschlüsselung. Dort lässt sich die Datei Config.dbx, die die host_id enthält, mit der Anwendung Dbx-keygen-linux auslesen.

Sicherer unter Windows

Unter Windows wird die SQLite-Datenbank mit der Windows-eigenen Verschlüsselungsschnittstelle Data Protection API (DPAPI) verschlüsselt. Daher mussten die Forscher einen anderen Weg suchen, um dessen Wert zu ermitteln. Im Debug-Modus schreibt der Dropbox-Client Logfiles im Klartext. Dort wird auch die host_id eingetragen. Der Debug-Modus war in älteren Dropbox-Versionen nur durch eine partielle Md5-Summe geschützt. Seit Version 2.0 wird der vollständige SHA-256-Hash benötigt.

Um an die host_id unter Windows zu kommen, haben die Hacker versucht, eine Man-in-the-Middle-Attacke auf den verschlüsselten Datenverkehr zwischen Client und Server zu fahren. Dabei fanden sie heraus, dass herkömmliche Hackerwerkzeuge nicht in der Lage sind, die SSL-Verbindung abzuhören. Die SSL-Zertifikate sind hart kodiert und die verwendete SSL-Bibliothek ist mit der ausführbaren Binärdatei statisch verlinkt. Daher ist das Patchen der Datei zwar möglich, aber äußerst zeitaufwendig.

Code-Injection per Monkey Patching

Die beiden Forscher haben stattdessen per Monkey Patching die entsprechenden SSL-Objekte verändert. Dabei nutzen sie Reflective DLL Injection unter Windows und LD-PRELOAD unter Linux, um Zugriff auf die relevanten Objekte im Speicher zu erhalten. Danach konnten sie die versendeten Daten einsehen, bevor sie verschlüsselt wurden. Diese Technik lässt sich allerdings nicht nur mit dem Python-Code des Dropbox-Clients anwenden, sondern auch mit weiteren dynamischen Skriptsprachen wie Ruby, Perl oder Javascript.

Die zusätzlich benötigte host_int wird beim Start des Dropbox-Clients vom Server übermittelt und ändert sich dann nicht mehr. Sie lässt sich beispielsweise durch eine Anfrage mit der host_id beim Dropbox-Server ermitteln, etwa auch über ein unverschlüsseltes WLAN. Hat ein Angreifer beide Werte, kann er jederzeit auf die Dropbox-Daten eines Opfers zugreifen, etwa indem er einen Weblink generiert.

Diese zweifache Authentifizierung werde nur für den Zugriff auf die Dropbox-Webseite benötigt, schreiben die Forscher. Der Dropbox-Client selbst verwendet sie nicht. Damit werde impliziert, dass weiterhin nur der Wert der host_id benötigt wird, um an die Daten eine Opfers zu gelangen.

Bytecode wird Open Source 

eye home zur Startseite
Julius Csar 17. Sep 2013

Ja, bei Binärdaten ist es generell mehr als schwierig, die Unterschiede zu erkennen. Ein...

Anonymer Nutzer 31. Aug 2013

wenn's wenigstens ne volle 365 umdrehung gewesen wäre ;p

IT.Gnom 30. Aug 2013

Sorry, hast recht, ich habe jemanden ganz anderen geantwortet. Ist ganz seltsam, da...

Neutrinoseuche 30. Aug 2013

Windows wird von so ziemlich jedem genutzt. Dropbox ist nur einer von vielen Diensten...

jokey2k 29. Aug 2013

http://archive.hack.lu/2012/Dropbox%20security.pdf ohne weitere worte



Anzeige

Stellenmarkt
  1. LivingData GmbH, Landshut, Nürnberg
  2. LogPay Financial Services GmbH, Eschborn
  3. Pilz GmbH & Co. KG, Ostfildern bei Stuttgart
  4. Rohde & Schwarz Cybersecurity GmbH, Berlin


Anzeige
Spiele-Angebote
  1. 1,49€
  2. 9,99€
  3. 199,99€ - Release 13.10.

Folgen Sie uns
       


  1. E-Mail

    Adobe veröffentlicht versehentlich privaten PGP-Key im Blog

  2. Die Woche im Video

    Schwachstellen, wohin man schaut

  3. UAV

    Matternet startet Drohnenlieferdienst in der Schweiz

  4. Joint Venture

    Microsoft und Facebook verlegen Seekabel mit 160 Terabit/s

  5. Remote Forensics

    BKA kann eigenen Staatstrojaner nicht einsetzen

  6. Datenbank

    Börsengang von MongoDB soll 100 Millionen US-Dollar bringen

  7. NH-L9a-AM4 und NH-L12S

    Noctua bringt Mini-ITX-Kühler für Ryzen

  8. Wegen Lieferproblemen

    Spekulationen über Aus für Opels Elektroauto Ampera-E

  9. Minix

    Fehler in Intel ME ermöglicht Codeausführung

  10. Oracle

    Java SE 9 und Java EE 8 gehen live



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Metroid Samus Returns im Kurztest: Rückkehr der gelenkigen Kopfgeldjägerin
Metroid Samus Returns im Kurztest
Rückkehr der gelenkigen Kopfgeldjägerin
  1. Doom, Wolfenstein, Minecraft Nintendo kriegt große Namen
  2. Nintendo Das NES Classic Mini kommt 2018 noch einmal auf den Markt
  3. Nintendo Mario verlegt keine Rohre mehr

Galaxy Note 8 im Test: Samsungs teure Dual-Kamera-Premiere
Galaxy Note 8 im Test
Samsungs teure Dual-Kamera-Premiere
  1. Galaxy S8 und Note 8 Bixby-Button lässt sich teilweise deaktivieren
  2. Videos Youtube bringt HDR auf Smartphones
  3. Galaxy Note 8 im Hands on Auch das Galaxy Note sieht jetzt doppelt - für 1.000 Euro

Zukunft des Autos: "Unsere Elektrofahrzeuge sollen typische Porsche sein"
Zukunft des Autos
"Unsere Elektrofahrzeuge sollen typische Porsche sein"
  1. Concept EQA Mercedes elektrifiziert die Kompaktklasse
  2. GLC F-Cell Mercedes stellt SUV mit Brennstoffzelle und Akku vor
  3. ID Crozz VW stellt elektrisches Crossover vor

  1. Re: Dumme Käufer

    thinksimple | 11:18

  2. Re: Und bei DSL?

    bombinho | 11:04

  3. Re: War das im Video das Kabel oder der Zugdraht?

    Eheran | 11:03

  4. Re: Geringwertiger Gütertransport

    logged_in | 11:03

  5. Re: Frage

    logged_in | 11:00


  1. 11:03

  2. 09:03

  3. 17:43

  4. 17:25

  5. 16:55

  6. 16:39

  7. 16:12

  8. 15:30


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel