Sicherheitslücke in DropBox

[Thyrfing]

Wie Heise.de berichtet, gibt es zumindest in der Windows Version der Client-Software eine Sicherheitslücke. Diese betrifft die Datei, in der die Zugangsdaten abgelegt werden. Sie ist nicht an das System gebunden und kann z.B. durch einen Trojaner "entführt" und von jedem beliebigen anderen Gerät benutzt werden.
Lest den genauen Wortlaut der Meldung auf Heise nach, ggf. müsst ihr prüfen, in wie weit bei euch ein Risiko besteht. Ob die Lücke auch für andere Systeme relevant ist, steht zur Zeit noch nicht fest.

via http://www.heise.de/

[Bonobo]

Also … wenn man ein Trojanisches Pferd oder sonst einen Virus auf dem Rechner hat, oder wenn jemand physischen Zugang zu einem Rechner hat, dann können die natürlich alles Mögliche tun. Das ist IMHO nicht eine Lücke bei Dropbox.

[Thyrfing]

Doch, lies dir mal den Text bei Heise durch. Das ist schon eine Lücke, die man aber schließen kann. Du kannst die Datei sogar dann verwenden, wenn das Passwort verändert wurde, da die ID Gültig bleibt.
Heise hat das besser beschrieben.

[Bonobo]

Schlusssatz dort: »[..] darauf achten, dass niemand an die config.db gelangen kann.«

Ich habe den Artikel sehr wohl gelesen, sehe aber immer noch nicht, wieso das ein Fehler bei DB sein soll.

Wenn ein Trojanisches Pferd (oder Virus oder Wurm) erstmal auf einem Rechner ist, dann hat der Benutzer eh schon einen Haufen Probleme, die Schadsoftware hat dann Zugang zu allen seinen Sachen, unter anderem halt auch zu den Dropbox-Dateien, aber eben nicht nur zu diesen.

Nur weil was auf Heise steht … muss es noch lange nicht komplett erklärt sein oder stimmen. Aber vielleicht kannst Du oder kann mich jemand anderes ja noch überzeugen

[Thyrfing]

Versuchen wir uns der Sache zu nähern   

Laut Newton ist die Datei nicht an das System gebunden und lässt sich folglich auf jedes andere System übertragen.

Für mich Fehler Nummer 1. Keine Identifikationsmöglichkeiten.

Diese Zugriffe seien nicht als zusätzliche Geräte zu erkennen, da dieses neue, unberechtigte System als das ursprüngliche Gerät erscheint.

Fehler Nummer 2. Das heißt, es wird nicht erkannt, wenn von einem anderen Gerät mit selbiger Datei zugegriffen wird, da diese ja nicht an das Ursprungsgerät gekoppelt ist. Es wird eine Geräte ID gesendet, aber auf dem Gerät nicht mehr geprüft! Und im Zweifel merkt es der User erst gar nicht.

Ein Ändern des Passworts durch den ursprünglichen Nutzer habe keine Auswirkung, da die in der Konfigurationsdatei gespeicherte ID weiterhin gültig bleibt und Dropbox die Login-Daten nicht erneut abfragt.

Hm, ich ändere mein Passwort und die selbe "alte" Datei funktioniert auf einem anderen Gerät immer noch? Bei allen anderen mir bekannten Programmen, muss ich spätestens jetzt das neue Passwort auf einem anderen Gerät eingeben.

Ich gebe dir recht, wenn die Datei abhanden kommt, ist dies eine gänzlich andere Sicherheitslücke. Hier geht es aber ausschließlich um die fehlende Sicherheit in der Datei selber. Und sich auf einem Windows-System einen Trojaner einzufangen, war in der Vergangenheit zumindest nicht weiter schwierig.

[MacFlieger]

Klar, wenn erst einmal jemand Zugriff auf den Rechner hat um an die config.db zu kommen, hat man noch ganz andere Probleme.

Interessant und meiner Meinung nach schlecht gelöst ist es, dass für den Zugriff auf die Dropbox eben kein Kennwort benötigt wird.
Wie Thyrfing ja schon schreibt, ist es normalerweise üblich bei solchen Diensten, dass die lokale Anwendung das Kennwort speichern kann und bei jedem Zugriff diese gespeicherte Version benutzt. In dem Fall kann auch jemand durch Steheln einer entsprechenden Datei auf den Dienst zugreifen. Sobald ich aber das Kennwort ändere, geht das nicht mehr.
DropBox scheint hier ein noch einfacheres System zu verwenden. So ähnlich wie auf Websiten die Session-ID, mit der Besucher während eines Besuches identifiziert werden. Klaut man die Session-ID, solange sie gültig ist, kann auch jeder die Identität übernehmen.

Komisch finde ich schon, dass DropBox nicht das übliche System verwendet hat.

[radneuerfinder]

Andere SicherheitsMängel der (iOS-)Dropbox tauchten breits hier auf unserer Insel auf:
http://www.apfelinsel.de/forum/index.php/topic,4418.msg62210.html#msg62210

Hier kann man eine "Eingabe" für mehr Verschlüsselung auch auf mobilen BetriebsSystemen unterstützen:
https://www.dropbox.com/votebox/4452/enhanced-mobile-client-communication-security-encrypt-both-files-and-metadata-

[Thyrfing]

Ah, danke! Hatte ich vergessen. (Oder nenne mich einfach suchfaul...) 

[MacFlieger]

@radneuerfinder:
Ja, diesen "Bug" finde ich noch erheblich schlimmer.

[Bonobo]

Und hier https://www.dropbox.com/votebox/4756/change-security-to-not-just-use-hostid- kann man seine Stimme dafür abgeben, dass zusätzliche Sicherheit bzgl. der in diesem Thread genannten Geschichte eingerichtet wird.

Bisher leider nur wenige Stimmen … habe meine letzten zwei Votes dafür gegeben

[FOX]

Habe auch mal abgestimmt. Warum habe ich 6 Votes? Eigenartig...

[Bonobo]

Mh, ich hatte nur 5 … vielleicht bist Du länger dabei als ich? Oder hast Dich schon mal im Forum o.ä. geäußert? Dir Ruhm erworben?

[FOX]

Könnten auch nur 5 gewesen sein..

Habe die DB ca. 1 Jahr. Mich wunderte nur, dass ich mehr als eine Stimme habe. Das erscheint mir irgendwie sinnlos. Aber gut, ist ja auch nicht ganz so wichtig.

Ruhm und Ehre - da warte ich noch drauf 

[DBe001]

Ich hatte auch sechs, und nun sagt er, ich hätte fünfzehn verbraucht.
Dabei war mir die Seite noch gar nicht bekannt, komisch.

[Florian]

Sehr vertrauenserweckende Seite, insgesamt.