Sicherheitsleck in ‘Dropbox’

Laut Newton ist das Problem eine SQLite-Datei mit dem Namen ‘config.db’, welche einen Teil der Login-Daten des Dropbox-Clients enthalte. Sie sei nicht verschlüsselt und könne mit jedem SQLite-Datenbank-Tool geöffnet werden. In der Datenbank gebe es ein Feld “host_id”, das zur Authentifizierung des Clients benutzt werde.

Newton schreibt: “Nach einigen Testrunden … wurde es klar, dass der Dropbox-Client ausschließlich host_id für die Authentifizierung benutzt. Und hier ist das Problem … wenn Sie Zugang zu der config.db-Datei einer Person haben (oder einfach host_id kennen), haben Sie kompletten Zugriff auf die Dropbox der Person. Das geht so lange, bis die Person den Host (den jeweiligen Rechner) mit Hilfe der Dropbox-Website aus der Liste der verbundenen Geräte entfernt.” Das sei aber nicht selbstverständlich. Der betrogene Anwender erhalte keine Benachrichtigung über das Herunterladen seiner Daten und der Rechner des Angreifers tauche auch nicht in der Liste der verbundenen Geräte auf.

Wenn das Opfer schnell sein Dropbox-Passwort ändere, nutze das gar nichts: “… host_id ist auch dann noch gültig, wenn der Anwender sein Dropbox-Passwort ändert. Das bedeutet, dass das Standardverfahren, die Zugangsdaten zu ändern, das Problem nicht löst”, erklärt Newton. Speziell programmierte Schadsoftware könne ‘config.db’ leicht auslesen oder kopieren. Der Diebstahl der Host-ID sei nur schwer zu bemerken. Der Anwender müsse sich zusätzlich im Notfall daran erinnern, dass nur ein Löschen des infizierten Hosts auf der Dropbox-Site das Problem löse.

Den Dropbox-Anwendern rät der Spezialist, bis zur Schließung der Sicherheitslücke auf den Dienst zu verzichten. Wer das nicht könne oder wolle, sollte seine online gespeicherten Daten mit einer starken Verschlüsselung für Außenstehende unlesbar machen. Passwörter sollten keinesfalls auf Dropbox abgelegt werden.

Schließlich sollte man genau darauf achten, alte Systeme (Host-ID) aus der Liste der zugelassenen Rechner zu entfernen. Die Liste ‘Last Activity’ unter der ‘My-Computers’-Aufstellung sollte regelmäßig überprüft werden. Falls ein System sich zu einer unwahrscheinlichen Zeit eingeloggt hat, sollte man es umgehend aus der Liste der zugelassenen Computer entfernen. Das Problem wird bereits an zwei Stellen (hier und hier) im offiziellen Dropbox-Forum diskutiert.

Silicon-Redaktion

Recent Posts

Bau-Spezialist Schöck: Migration von SAP ECC ERP auf S/4HANA

Bau- und Fertigungsspezialist investiert in die S/4HANA-Migration und geht mit RISE WITH SAP in die…

1 Tag ago

Pure Storage: Cloud, KI und Energieeffizienz

Trends 2025: Rasante Entwicklungen bei Automatisierung, KI und in vielen anderen Bereichen lassen Unternehmen nicht…

2 Tagen ago

GenKI verbessert Datenmanagement und Angebotsgenauigkeit

DHL Supply Chain nutzt generative KI-Anwendungen für Datenbereinigung und präzisere Beantwortung von Angebotsanforderungen (RFQ).

3 Tagen ago

Rolls-Royce Power Systems nutzt industrielle KI aus der IFS Cloud​

Marke mtu will globale Serviceabläufe optimieren und strategische Ziele hinsichtlich Effizienz, Nachhaltigkeit und Wachstum unterstützen.

3 Tagen ago

Thomas-Krenn.AG: viele Pflichten, knappe Ressourcen, mehr freie IT-Welt

IT-Infrastruktur-Trends 2025: Open-Source-Projekte sowie aufwändige regulatorische und Pflichtaufgaben werden das Jahr prägen.

3 Tagen ago

Stadt Kempen nutzt Onsite Colocation-Lösung

IT-Systeme werden vor Ort in einem hochsicheren IT-Safe betrieben, ohne auf bauliche Maßnahmen wie die…

4 Tagen ago