Dropbox unter SchnĂĽffelverdacht
Angeblich überträgt der Client auch Dateien, die nicht in den abzugleichenden Ordnern liegen, an die Dropbox-Serverfarm. heise Security hat untersucht, was an den Schnüffel-Vorwürfen dran ist.
- Ronald Eikenberg
Derzeit sorgt ein Bericht für Aufsehen, laut dem der Dropbox-Client auch auf Dateien außerhalb der zu synchronisierenden Ordner zugreifen und diese "stiehlt". Klar ist: Der Client sieht sich tatsächlich umfassend auf der Festplatte um. Dass die Dateien oder Informationen über sie an Dropbox-Server gesendet werden, ist allerdings reine Spekulation.
heise Security konnte nachvollziehen, dass der Dropbox-Client überwacht, was auf dem System vor sich geht und Metadaten von Dateien abruft, die sich etwa auf dem Desktop oder direkt unter c:\ befinden. Bei unseren Versuchen beschränkte er sich aber dabei darauf, Dateiattribute wie Erstelldatum oder den letzten Zugriffszeitpunkt abzurufen. Der Inhalt der Dateien wurde nicht ausgelesen. Auch die aktuell kursierenden Screenshots belegen nicht, dass die Dateien ausgelesen wurden.
Das Phänomen wurde bereits vor drei Jahren auf Superuser.com dokumentiert. Zwei Jahre später veröffentlichte dort jemand ein Statement, das von Dropbox stammen soll. Demnach gehen die Zugriffe auf eine Funktion zurück, die überprüft, ob eine Datei aus einem Ordner stammt, der über Dropbox synchronisiert wird. Ist das der Fall, verändert Dropbox das Icon der Datei und fügt dem Kontextmenü einen Eintrag hinzu. Durch die Systemüberwachung kann Dropbox laut dem Statement auch solche Dateien korrekt einsortieren, die in Bibliotheken liegen oder durch eine symbolische Verknüpfung unter einem anderen Pfad auftauchen.
Bei unseren Tests stießen wir auf keinen ungewöhnlichen Datenverkehr – lediglich auf die Pakete, die der Client ohnehin ab und zu mit den Dropbox-Servern austauscht. Auch die Screenshots in dem Bericht belegen dies nicht. Man sieht lediglich, dass der Client mit Dropbox kommuniziert hat, nicht was. Derzeit besteht kein verstärkter Anlass zu der Vermutung, dass Dropbox im großen Stil Daten abgreift.
Update vom 4. März, 13:15: Ein Dropbox-Sprecher erklärte gegenüber heise Security, die im Bericht erhobene Behauptung, der Client würde Dateien außerhalb der Dropbox-Ordner synchronisieren, sei unzutreffend. (rei)