zurück zum Artikel

Mit dem experimentellen Update 1.2.0 soll das unbefugte Kopieren der Konfigurationsdatei auf einen anderen Rechner nicht mehr ausreichen, um auf den Online-Speicher zuzugreifen.

Die Dropbox-Entwickler haben das experimentelle Update 1.2.0 für Windows, Mac OS X und Linux zum Testen bereitgestellt [1], das das kürzlich gemeldete Sicherheitsproblem beseitigen soll. Durch das Auslesen der Konfigurationsdatei können sich Unberechtigte unbemerkt Zugang zu dem Online-Speicherdienst verschaffen und frei auf die gespeicherten Dateien zugreifen. Davor schützt auch das nachträgliche Ändern des Passworts nicht, wie der Sicherheitsexperte Derek Newton bei Tests herausfand [2].

Laut Newton ist die Konfigurationsdatei config.db nicht an das System gebunden und lässt sich folglich auf jedes andere System übertragen. Ein Trojaner könnte die Datei kopieren und sich später jederzeit Zugang zu den in Dropbox gespeicherten Dateien verschaffen. Das Update soll nun verhindern, dass sich Angreifer mit Kopien der Datei Zugriff auf den Online-Speicher verschaffen können.

Darüber hinaus führt die Version 1.2.0 ein neues, verschlüsseltes Format für die lokal verwendete SQLite-Datenbank ein, um den unberechtigten Zugriff auf Inhalte zu verwehren. Leider führt das nach Angaben der Entwickler dazu, dass einige Anwendungen mit Dropbox-Unterstützung nicht mehr funktionieren. Konkret sind unter anderem 1Password und KFilebox betroffen.

Die Entwickler rechnen mit mehreren Wochen bis zur Fertigstellung der offiziellen Version. Anwendern, die das experimentelle Update schon testen wollen, rät der Hersteller, ein Backup anzulegen. (dab [3])

URL dieses Artikels:
https://www.heise.de/-1234749

Links in diesem Artikel:
[1] http://forums.dropbox.com/topic.php?id=37258&%2037258
[2] https://www.heise.de/news/Sicherheitsluecke-beim-Online-Speicher-Dropbox-1224899.html
[3] mailto:dab@ct.de

Copyright © 2011 Heise Medien