Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?

Sicherheitsproblem bei Dropbox

Sicherheitsexperte Derek Newton macht in seinem Blog auf eine Sicherheitsproblem im Online-Speicherdienst Dropbox aufmerksam, durch das Angreifer unbemerkt einen uneingeschränkten dauerhaften Zugang zu den Online-Daten des Opfers erlangen können. Möglich macht dies die Speicherung eines Zugangsschlüssels in der Konfigurationsdatei der Dropbox-Software (~/.dropbox/config.db), ohne dabei eine direkte Verknüpfung zum aktuellen System herzustellen. Durch Kopieren der Konfiguration, beispielsweise durch einen Trojaner, lässt sich damit auch der Zugang zur Dropbox auf beliebig viele Computer kopieren. Diese Computer sind auch nicht zu erkennen, denn sie erscheinen für Dropbox als das ursprüngliche Gerät. Ein Änderung des Kennwortes hat ebenfalls keine Auswirkungen, denn durch den Schlüssel in der Konfigurationsdatei ist keine erneute Kennwort-Eingabe erforderlich. Ein Angreifer könnte damit über die Dropbox beispielsweise weitere Dropbox-Geräte des Opfers, der Freunde oder der Kollegen unter seine Kontrolle bringen.

Erst wenn das Opfer seinen Computer bei Dropbox deaktiviert, hat auch der Angreifer keinen Zugang mehr zur Dropbox. Zwar wurde dieses Sicherheitsproblem bisher nur unter Windows näher beleuchtet, doch wird es aufgrund des grundlegenden Architekturproblems in ähnlicher Weise auch auf allen anderen Systemen zu finden sein. Dropbox selbst sieht in seinem Ansatz kein Problem, da diese "Cookie"-Technik bei vielen Web-Diensten üblich ist und schließlich ein Zugriff auf die Datei notwendig ist. Derek Newton rät dennoch von einem Einsatz der Dropbox in Unternehmen ab. In jedem Fall sollten sich Anwender bewusst sein, dass die config.db den Zugang zu ihrer Dropbox enthält und nicht weitergegeben werden darf.

Weiterführende Links:
Kurz: Netflix-Preiserhöhung auch für Bestandskunden +++ Passkey-Unterstützung für WhatsApp
Kurz: Netflix-Preiserhöhung auch für Bestandsku...
Weitere Apple-Prozessoren geplant: Entwicklung von Serverchips
Weitere Apple-Prozessoren geplant: Entwicklung ...
Blanke Kappen: Neuer Ärger mit MacBook-Tastaturen?
Blanke Kappen: Neuer Ärger mit MacBook-Tastatur...
Apples Quartalsergebnis
Apples Quartalsergebnis
Test Nubert nuControl X
Test Nubert nuControl X
iOS 17.4 erschienen
iOS 17.4 erschienen
Wie lange wird Intel noch unterstützt?
Wie lange wird Intel noch unterstützt?
7 Jahre APFS: Vorteile und Eigenheiten von Apples modernem Dateisystem
7 Jahre APFS: Vorteile und Eigenheiten von Appl...

Kommentare

Ling Ling08.04.11 20:04
Ein Angreifer könnte damit über die Drop Box beispielsweise weitere Drop-Box-Geräte des Opfers, der Freunde oder der Kollegen unter seine Kontrolle bringen.
Und was heisst das im Klartext? Er packt mir Bilder rein oder löscht meine Daten?
In jedem Fall sollten sich Anwender bewusst sein, dass die config.db den Zugang zu ihrer Drop Box enthält und nicht weitergegeben werden darf. (sb)
Ja klar, ich gebe ja auch so oft die Datei config.db an andere weiter. Als wenn ich sonst nix zu tun hätte
Ehrlich gesagt ich wusste bis jetzt noch nicht mal das es solch eine Datei gibt geschweige denn wo diese sich befindet
0
A-Ha08.04.11 20:05
Wer seine Daten einem Onlinespeicher anvertraut, ist selber schuld. Das Risiko trägt wie beim Onlinebanking der Kunde. Man glaubt ja immer, dass es einen nicht selber trifft. Dumm nur, dass die Wahrscheinlichkeit davor nicht Halt macht.
0
sb08.04.11 20:09
Ling Ling
Er könnte Trojaner hinterlegen oder manipulierte Dateien die schädliche Programmanweisungen einschleusen. Aufgrund der Synchronisation könnte er das soweit automatisieren, dass er neue Dateien des Opfers bereits unmittelbar nach dem ersten Hochladen entsprechend modifiziert.
🎐 Sie werden häuslichen Frieden, finanzielle Sicherheit und gute Gesundheit genießen.
0
LoMacs
LoMacs08.04.11 20:29
@A-Ha: Beim Online-Banking trägt das Risiko nicht der Kunde, sondern die Bank.
0
Ling Ling08.04.11 20:35
sb
Er könnte Trojaner hinterlegen oder manipulierte Dateien die schädliche Programmanweisungen einschleusen.
Aber selbst wenn ich eine Datei mit schädlichen Programmanweisungen auf meinem Mac hätte, würden sie nicht ausgeführt, oder? Und wenn doch, dann fragt mich mein Mac doch erstmal nach einem Passwort oder nicht?

Ich meine so ist es doch auch bei Installationen. Nix geht ohne dass ich nicht beim OK gebe. Von alleine installiert sich also nix, und die Datei an sich birgt ja keine Gefahr solange diese nicht ausgeführt wird.

Also alles wieder heiße Luft, oder hab ich da was übersehen?

PS: Eure Bild von www.mactechnews.de- Bildchen sehen bescheiden aus auf blauem Hintergrund, siehe beim Zitier-Reiter. Wieso macht ihr die nicht transparent? Ich meine ist jetzt kein Beinbruch, aber ich dachte immer ihr bei MTN legt so großen Wert auf Design und das alles auch hübsch aussieht und passt
0
A-Ha08.04.11 20:40
@LoMacs: Nur, wenn der Fehler bei der Bank liegt. Der DAU sitzt aber immer vor dem Computer.
0
janos_ad
janos_ad08.04.11 20:55
Villeicht ist es doch keine so gute Idee 1Password über Dropbox zu syncen
0
LoMacs
LoMacs08.04.11 21:15
@A-Ha: Wovon sprichst du? Die juristische Beweislast liegt bei der Bank, egal ob "DAU" (widerliche Bezeichnung) oder Hackerkönig.
0
Ling Ling08.04.11 21:41
@Janos_ad

Doch doch! Das ist eine SEHR gute Idee
0
o.wunder
o.wunder08.04.11 22:20
Tja also wer in die Dropbox irgendwelche Daten legt die er Fremden nicht geben würde ist selber schuld. Der Anbieter hat in jedem Fall vollen Zugriff und so eine 1Password Datenbank lässt sich vielleicht doch knacken oder einfach Passwörter durchprobieren.
0
eribula
eribula08.04.11 22:36
Wie kommt Ihr eigentlich drauf, Eure Daten seien auf Eurem lokalen Rechner sicherer als bei einem Anbieter in der Cloud? Das ist nur gefühlsmäßig, sicher aber nicht logisch zu erklären. Im Gegensatz zu den meisten Anwendern beschäftigen sich Dienste wie Dropbox nämlich permanent mit Sicherheitsfragen. A-Ha, Du sagst ja selbst wo der DAU sitzt ... Wirkliche Sicherheit werdet Ihr nur auf Rechnern haben, die nicht vernetzt sind, vor allem nicht mit dem Internet, und das trifft wohl auf die wenigsten zu. Und selbst da habt Ihr zahlreiche Einfallstore, denn irgendwie müssen ja Daten rauf und runter.
0
atomboy08.04.11 22:39
Hab mich die Tage erst gewundert, dass nach einem PW-Wechsel die Klienten (OS X, Win, i-Familie) noch immer fleißig weitersyncen. Das sollte man die Option schaffen können, um nach einem PW-Wechsel eine Neuregistrierung der Klienten zu erzwingen.
0
Navier-Stokes
Navier-Stokes08.04.11 23:20
Also wenn ein Trojaner meine config.db lesen und verschicken kann, dann kann er auch mein ganzes home-directory lesen. Und da ist u.U. viel mehr interessantes drin als in meiner DropBox. Ich meine, dann ist das Kind doch schon längst in den Brunnen gefallen.
Was ist mit meinen ssh-keys? Die kann der Trojaner dann ja auch benutzen.
Computer Science is no more about computers than astronomy is about telescopes. (Edsger W. Dijkstra)
0
Alto
Alto09.04.11 01:10
Dropbox einfach mit TrueCrypt nutzen - man kann sich auch anstellen...
0
DRAGONFLY09.04.11 04:01
Der Einsatz von Truecrypt ist in der Dropbox nur bedingt möglich. Wenn ich auf ein iOS- Gerät synce, gibt es kein Werkzeug zum dortigen Entschlüsseln. Und das ist einer der häufigsten Anwendungsfälle.

Was die Ausführungen zu Trojanern angeht, sind sie blauäugig. Das ist jeder aktive Prozess, der unbemerkt Unerwünschtes ausführt, dass er hierbei keiner Genehmigung per Admin-Passwort bedarf, gehört à priori zu seiner Struktur und macht ihn erst zum Trojaner. Die einfachste Art ist einen in einer Stadard-App wie einer Firefox- oder Codec-Installation zu verstecken. Gab's schon oft unter Filesharing-Witzbolden.
0
schlurffi09.04.11 09:09
Wer sicher gehen will, sollte halt keine sicherheitskritische Daten unverschlüsselt auf die Dropbox ablegen.
Außerdem: Falls ein Trojaner Zugriff auf die Config-Datei von Dropbox auf meinem Rechner hat, dann sieht es auch schlecht für die anderen Daten auf meinem Rechner aus, oder? Das Sicherheitsproblem ist da nicht die Dropbox.
0
Darii09.04.11 10:06
@Ling Ling: Natürlich fragt dich die Datei nicht, ob sie ausgeführt werden will. Sie tut es einfach, dass ist doch ihr Sinn. Und Passwort brauchst du da auch nicht da das alles in deinem Benutzerordner geschieht dafür brauch man keine weiteren Rechte.

Warum Dropbox den Schlüssel nicht einfach in den Schlüsselbund packt, ist mir schleierhaft.
0
cybermike
cybermike09.04.11 10:22
@Darii: Den Schlüssel in den Schlüsselbund zu packen wäre glaube ich kein Problem, die Dropbox ist aber ein Cross Plattform Cloud Service, auf vielen Endgeräten gibt es eben keine sichere Speichermöglichkeit für Passwörter. Nur eine Vermutung meinerseits ....
Responsibility implemented
0
TechID09.04.11 10:40
Am besten alles aufm eigenen Server dropen
0
DRAGONFLY09.04.11 10:46
TechID 09.04.11 10:40
Am besten alles aufm eigenen Server dropen

Gab es da nicht eine schlanke Lösung von Opera.. Opera Unity..
Oder ist das zu schlank?
0
ts
ts09.04.11 11:15
Navier-Stokes
Also wenn ein Trojaner meine config.db lesen und verschicken kann, dann kann er auch mein ganzes home-directory lesen. Und da ist u.U. viel mehr interessantes drin als in meiner DropBox. Ich meine, dann ist das Kind doch schon längst in den Brunnen gefallen.
Ich glaube man bemerkt lokal eher, wenn größere Datenmengen gesendet werden. Auf irgendeinem entfernen Server in Ländern mit zwielichtigen Datenschutzgesetzen ist die Gefahr größer.

Je nach Implementierung kann man auch teilweise gar keine Datensicherung machen - deshalb bezeichne ich solche Lösungen als Klaut.
0
eribula
eribula09.04.11 12:23
TechID
Den Du dann aber auch absichern musst. Wenn das ein Anwender mit dem Client nicht schafft, dann gute Nacht. Mal ganz abgesehen davon, dass der eigene Server natürlich auch "Cloud" ist, genauso wie jeder ans Internet angeschlossene Rechner eigentlich auch.



0
Darii09.04.11 12:41
@cybermike: Ja, aber wenn man schon eine OSX-Anwendung baut, hat man auch noch Zeit für die drei Zeilen um wenigstens unter OSX den Schlüsselbund zu verwenden.
0
o.wunder
o.wunder10.04.11 15:18
Ich lege nur was in die Dropbox was im Prinzip jeder sehen darf.

Verschlüsseln würde mir nicht helfen, weil die iOS Apps das nicht unterstützen.
0
verstaerker
verstaerker10.04.11 20:48
die Dtaei liegt übrigens hier:
user/.dropbox/config.db
0

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.