Sicherheitslücke beim Online-Speicher Dropbox

Der Sicherheitsexperte Derek Newton hält die Nutzung des populären Online-Dienstes Dropbox für ein Sicherheitsrisiko. Der Dienst sichert Dateien im Web und synchronisiert sie permanent zwischen unterschiedlichen Rechnern. Dafür sorgen Clients für Windows, Linux und Mac OS, aber auch für mobile Systeme wie iOS und Android. Der kostenlose Online-Speicher ist sowohl unter Privatnutzern als auch in Unternehmen sehr beliebt.

Bei Untersuchungen des Windows-Clients stieß Newton auf eine schwerwiegende Sicherheitslücke, die die Handhabung der Zugangsdaten des Dropbox-Accounts betrifft. Diese Daten muss man nur einmal während der Installation eingeben; sie werden dann in der Datei config.db auf der lokalen Festplatte im Verzeichnis %APPDATA%\Dropbox gespeichert. Laut Newton ist die Datei nicht an das System gebunden und lässt sich folglich auf jedes andere System übertragen. Ein Trojaner könnte also die config.db an sich reißen und sich Zugang zu den in Dropbox gespeicherten Dateien verschaffen. Diese Zugriffe seien nicht als zusätzliche Geräte zu erkennen, da dieses neue, unberechtigte System als das ursprüngliche Gerät erscheint. Ein Ändern des Passworts durch den ursprünglichen Nutzer habe keine Auswirkung, da die in der Konfigurationsdatei gespeicherte ID weiterhin gültig bleibt und Dropbox die Login-Daten nicht erneut abfragt.

Newton hält die Sicherheitslücke für einen Design-Fehler beim Windows-Client. Ob dies auch die Software für andere Betriebssysteme betrifft, ist derzeit noch unklar, aber wegen der gleichen Architektur möglich. Newton empfiehlt Unternehmen, derzeit auf den Einsatz der Dropbox zu verzichten. Anwender sollten heikle Daten in ihrer Dropbox auf jeden Fall verschlüsseln, alte Systeme aus der Liste der autorisierten Geräte entfernen und darauf achten, dass niemand an die config.db gelangen kann.

Siehe dazu auch:

• Dropbox im heise Software-Verzeichnis

()