|
|
|
Autor |
Nachricht |
Ragnarok
|
|
Titel: Dropbox = Sicherheitsrisiko?
Verfasst am: 10.04.2011, 12:24 Uhr
|
|
Jinxed
Anmeldungsdatum: 12. Dez 2006
Beiträge: 5.397
Wohnort: 기정동
Status: Offline
|
|
[quote:095453b3e3="Der Standard"]Sicherheitsrisiko: Experte warnt vor Online-Speicher Dropbox
10. April 2011, 10:28
Kopie einer Datei reicht aus, um unbemerkten Zugriff auf Daten zu bekommen
In den letzten Jahren sind Online-Services zum Abgleich der eigenen Daten zwischen mehreren Rechnern immer beliebter geworden, zu den prominentesten Vertretern dieser Sparte zählt Dropbox. Mit Clients für zahlreiche Plattformen - von Windows, Mac und Linux bis zu Android, iOS und Blackerry - legt man vor allem Wert auf die besonders einfache Nutzung, die Synchronisation wird zum Kinderspiel.
Probleme
Ein Spiel, das aber durchaus so seine Gefahren birgt, wie nun der Sicherheitsexperte Derek Newton von Time Warner warnt: Bei seinen Untersuchungen des Windows-Clients sei er auf eine schwerwiegende Sicherheitslücke gestoßen: Dropbox speichert alle Informationen zur Autorisierung in einer einzigen Datei ab, nämlich in der config.db im Verzeichnis %APPDATA%\Dropbox. Das Problem dabei: Diese Einstellungen sind in keinster Weise an den jeweiligen Rechner gebunden.
Kopie
Wem es also gelingt diese Datei zu kopieren, kann sie einfach auf einen eigenen Rechner spielen und in Folge dort alle Daten vom betreffenden Dropbox-Account mitsynchronisieren. Dies noch dazu völlig unbemerkt, da die solcherart geklonte Installation nicht als neues System aufscheint. Selbst das Ändern des Passworts durch den ursprünglichen User hätte hier keine Auswirkungen, Dropbox überprüft nämlich nur die lokal vergebene ID, nicht jedes mal die konkreten Login-Daten.
Szenario
Als konkretes Angriffsszenario zeichnet Newton das Auslesen der config.db durch einen Trojaner. In Folge könnten AngreiferInnen dann den Dropbox-Account nicht nur zum Auslesen der Daten sondern auch zum Einschmuggeln von Malware auf weitere Rechner nutzen.
Warnung
Newton hat dieses Verhalten nur für die Windows-Version der Software untersucht, es ist aber durchaus wahrscheinlich, dass Client-Ausgaben für andere Betriebssysteme den gleichen Design-Fehler aufweisen. Der Sicherheitsexperte warnt als Konsequenz vor allem Unternehmen derzeit vor dem Einsatz von Dropbox. Wer nicht auf die Software verzichten will, sollte aber zumindest die Liste der verbundenen Systeme durchgehen und alles entfernen was nicht mehr benötigt wird oder potentiell kompromittiert sein könnte. Zudem sollte man kritische Daten ohnehin nur verschlüsselt abgleichen lassen. (red, derStandard.at, 10.04.11)
Quelle |
|
|
|
|
|
krysmopompas
|
|
Titel:
Verfasst am: 10.04.2011, 14:43 Uhr
|
|
Retrogott
Anmeldungsdatum: 19. Jun 2008
Beiträge: 2.094
Status: Offline
|
|
Man kann ein auf dem Rechner gespeichertes Passwort auslesen - wer hätte das gedacht .
Gut, man könnte das besser verstecken, aber eine richtige Sicherheitslücke ist was anderes. |
_________________ If you can’t run at 60 fps, you’re not a good racing game.
|
|
|
|
|
laforma
|
|
Titel:
Verfasst am: 10.04.2011, 16:42 Uhr
|
|
Retrokenner
Anmeldungsdatum: 01. Jun 2007
Beiträge: 394
Status: Offline
|
|
naja, problem ist, dass in der datei keine zugangsdaten stehen sondern eine id. selbst wenn du deine kennwoerter aenderst bleibt diese id immer identisch. also da haben die sich schon ein bissl ein ei gelegt... aber ansonsten nenn ich das kein sicherheitsrisiko, weil wenn jemand zugriff auf die datei auf deinem rechner hat, kann er auch jede andere datei abgreifen - er hat ja bereits zugriff. |
|
|
|
|
|
|
Alle Zeiten sind GMT + 1 Stunde
|
|
|
|
|
|