Der Sicherheitsspezialist Derek Newton warnt in einem Blog-Beitrag vor einer Lücke im Online-Backup- und Dateisynchronisationsdienst Dropbox. Durch das einfache Kopieren einer kleinen Datenbankdatei des Opfers, könne ein Angreifer dessen online gespeicherte Daten auf den eigenen Rechner umleiten. Dafür müsse er nicht einmal das Dropbox-Passwort kennen.

Laut Newton ist das Problem eine SQLite-Datei mit dem Namen „config.db“, welche einen Teil der Login-Daten des Dropbox-Clients enthalte. Sie sei nicht verschlüsselt und könne mit jedem SQLite-Datenbank-Tool geöffnet werden. In der Datenbank gebe es ein Feld „host_id“, das zur Authentifizierung des Clients genutzt werde.

Newton schreibt: „Nach einigen Testrunden … wurde es klar, dass der Dropbox-Client ausschließlich host_id für die Authentifizierung nutzt. Und hier ist das Problem … wenn Sie Zugang zu der config.db-Datei einer Person haben (oder einfach host_id kennen), haben Sie kompletten Zugriff auf die Dropbox der Person. Das geht so lange, bis die Person den Host (den jeweiligen Rechner) mit Hilfe der Dropbox-Website aus der Liste der verbundenen Geräte entfernt.“ Das sei aber nicht selbstverständlich. Der betrogene Anwender erhalte keine Benachrichtigung, wenn seine Daten heruntergeladen würden, und der Rechner des Angreifers tauche auch nicht in der Liste der verbundenen Geräte auf.

Es nütze auch nichts, wenn das Opfer schnell sein Dropbox-Kennwort ändere: „… host_id ist auch dann noch gültig, wenn der Anwender sein Dropbox-Passwort erneuert. Das bedeutet, dass das Standardverfahren, die Zugangsdaten zu ändern, das Problem nicht löst“, erklärt Newton. Speziell programmierte Schadsoftware könne „config.db“ leicht auslesen oder kopieren. Der Diebstahl der Host-ID sei nur schwer zu bemerken. Im Notfall helfe nur das Löschen des infizierten Hosts auf der Dropbox-Site.

Den Dropbox-Anwendern rät der Sicherheitsspezialist, bis zur Schließung der Sicherheitslücke auf den Dienst zu verzichten. Wer das nicht könne oder wolle, sollte seine online gespeicherten Daten mit einer starken Verschlüsselung für Außenstehende unlesbar machen. Passwörter sollten keinesfalls auf Dropbox abgelegt werden.

Zudem müsse man genau darauf achten, alte Systeme (Host-ID) aus der Liste der zugelassenen Rechner zu entfernen. Die Liste „Last Activity“ unter der „My-Computers“-Aufstellung sollte regelmäßig überprüft werden. Falls ein System sich zu einer unwahrscheinlichen Zeit eingeloggt hat, sollte man es umgehend aus der Liste der zugelassenen Computer entfernen. Das Problem wird bereits in den beiden Beiträgen „keep password safe“ und „Mail URL Security breach“ im offiziellen Dropbox-Forum diskutiert.

ZDNet.de Redaktion

Recent Posts

Apple meldet Rekordumsatz im vierten Fiskalquartal

Die Einnahmen klettern auf fast 95 Milliarden Dollar. Allerdings belastet der Steuerstreit mit der EU…

1 Tag ago

Microsoft steigert Umsatz und Gewinn im ersten Fiskalquartal

Das stärkste Wachstum verbucht die Cloud-Sparte. Microsoft verpasst bei der Umsatzprognose für das laufende Quartal…

2 Tagen ago

Bezahlkarten: Infineon verspricht weniger Plastikmüll

Ein Coil-on-Module-Package integriert Chip und Antenne, was den Kartenkörper fast vollständig recycelbar machen soll.

3 Tagen ago

Firefox 132 schließt elf Sicherheitslücken

Mindestens eine Anfälligkeit erlaubt das Einschleusen von Schadcode. Außerdem erweitern die Entwickler den Support für…

3 Tagen ago

Telekom nennt Termin für 2G-Ende

Zum 30. Juni 2028 soll das 2G-Netz komplett abgeschaltet werden und den Weg für schnellere…

3 Tagen ago

Alphabet übertrifft die Erwartungen im dritten Quartal

Gewinn und Umsatz legen deutlich zu. Zum Wachstum tragen auch die Sparten Cloud und Abonnements…

3 Tagen ago