Vorsicht: Sicherheitslücke in Dropbox


Dropbox ist wohl einer der Dienste, die stellvertretend
für „Cloud-Dienste“ stehen können: Egal auf welchem System der Dropbox-Client installiert ist,
dank der Verbindung zur Cloud sind die per Dropbox gespeicherten Daten
überall in der jeweils aktuellen Version vorhanden. Sicherheitsbedenken hatte
der Anbieter bislang immer zerstreuen können: Die Daten seien innerhalb von
Dropbox vor unbefugtem Zugriff geschützt.

 

Der IT-Sicherheitsexperte Derek Newton hat nun allerdings eine
massive Sicherheitslücke
im Dropbox-Client ausgemacht, also dem Stück
Software, welches die Verbindung zwischen dem Dienst und dem lokalen System
erstellt. Das Problem ist, so Newton, dass in der Datei config.db die Host-ID
fest gespeichert wird, sobald sich der Nutzer erstmals bei Dropbox mit seinen
Zugangsdaten angemeldet hat. Wird die Datei auf ein anderes System kopiert,
erhält man sofort Zugang zum Dropbox-Account – und zwar ohne, dass man nach den
Zugangsdaten gefragt wird, ohne dass der Nutzer informiert wird und ohne dass
der Rechner als neues System in der Übersicht auftaucht. Der Zugriff bleibt
sogar bestehen, wenn der Nutzer das Passwort ändert.

 

Das Problem lässt sich von Jedermann mit dem aktuellen
Dropbox-Client nachvollziehen – lediglich der betreffende Ordner musste manuell
angelegt werden. Wir stellen das Szeneraio nach und hatten von einem bislang
nicht verwendeten Rechner aus kompletten Zugriff auf unsere eigene Dropbox. Ohne
auf der neuen Maschine jemals die Zugangsdaten eingegeben zu haben.

 

Newton sieht mehrere Angriffsvektoren: Zum einen könnte
speziell programmierte Malware auf die config.db zielen – der Pfad ist leicht
herauszufinden. Eine Alternative wäre Social Engineering, bei dem Nutzer durch
Tricks dazu gebracht werden, die Datei an den Angreifer zu schicken.

 

Solange Dropbox diese Fehler nicht behebt – und Nutzer auf
den Dienst nicht verzichten wollen – sollten zusätzliche
Sicherheitsvorkehrungen getroffen werden. So können etwa mit Hilfe von Windows
BitLocker sowie Programmen wie Truecrypt
oder SecurStick verschlüsselte
Container in Dropbox erzeugt werden. Diese lassen sich nur mit einem Kennwort
öffnen.

 

Außerdem sollte der eigene Dropxob-Account gepflegt werden
beziehungsweise auch die mit dem Dienst verbundenen Computer. Wird ein Rechner
nicht mehr zum Zugriff benötigt, sollte die Verbindung gelöst werden. Über das
Fragezeichen bei „Letzter Aktivität“ im Dropbox-Konto erfährt der Nutzer zudem,
welche IP und welche Clientversion zuletzt auf das Konto zugegriffen hat. Sobaldhier
Unregelmäßigkeiten auftauchen, sollte die Verbindung sofort getrennt werden.
Die hinterlegten Daten werden dann zwar nicht gelöscht, aber nur nach Eingabe
der Nutzerdaten hat der Anwender wieder Zugriff auf den Dropbox-Account. Und
wenn ein wenig Eigenwerbung erlaubt ist: Mit Live Mesh 2011 hat
Microsoft auch eine Alternative zu Dropbox am Start.

 

Gastbeitrag von Michael Kranawetter, Chief Security Advisor (CSA) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht
Michael alles Wissenswerte rund um Schwachstellen in
Microsoft-Produkten und die veröffentlichten Softwareupdates.

 

 

Comments (0)