Apfelinsel
Mac-Software => Thema gestartet von: Thyrfing am April 09, 2011, 20:53:07
-
Wie Heise.de berichtet, gibt es zumindest in der Windows Version der Client-Software eine Sicherheitslücke. Diese betrifft die Datei, in der die Zugangsdaten abgelegt werden. Sie ist nicht an das System gebunden und kann z.B. durch einen Trojaner "entführt" und von jedem beliebigen anderen Gerät benutzt werden.
Lest den genauen Wortlaut der Meldung auf Heise nach (http://www.heise.de/newsticker/meldung/Sicherheitsluecke-beim-Online-Speicher-Dropbox-1224899.html), ggf. müsst ihr prüfen, in wie weit bei euch ein Risiko besteht. Ob die Lücke auch für andere Systeme relevant ist, steht zur Zeit noch nicht fest.
via http://www.heise.de/
-
Also … wenn man ein Trojanisches Pferd oder sonst einen Virus auf dem Rechner hat, oder wenn jemand physischen Zugang zu einem Rechner hat, dann können die natürlich alles Mögliche tun. Das ist IMHO nicht eine Lücke bei Dropbox.
-
Doch, lies dir mal den Text bei Heise durch. Das ist schon eine Lücke, die man aber schließen kann. Du kannst die Datei sogar dann verwenden, wenn das Passwort verändert wurde, da die ID Gültig bleibt.
Heise hat das besser beschrieben.
-
Schlusssatz dort: »[..] darauf achten, dass niemand an die config.db gelangen kann.«
Ich habe den Artikel sehr wohl gelesen, sehe aber immer noch nicht, wieso das ein Fehler bei DB sein soll.
Wenn ein Trojanisches Pferd (oder Virus oder Wurm) erstmal auf einem Rechner ist, dann hat der Benutzer eh schon einen Haufen Probleme, die Schadsoftware hat dann Zugang zu allen seinen Sachen, unter anderem halt auch zu den Dropbox-Dateien, aber eben nicht nur zu diesen.
Nur weil was auf Heise steht … muss es noch lange nicht komplett erklärt sein oder stimmen. Aber vielleicht kannst Du oder kann mich jemand anderes ja noch überzeugen ;)
-
Versuchen wir uns der Sache zu nähern :D
Laut Newton ist die Datei nicht an das System gebunden und lässt sich folglich auf jedes andere System übertragen.
Für mich Fehler Nummer 1. Keine Identifikationsmöglichkeiten.
Diese Zugriffe seien nicht als zusätzliche Geräte zu erkennen, da dieses neue, unberechtigte System als das ursprüngliche Gerät erscheint.
Fehler Nummer 2. Das heißt, es wird nicht erkannt, wenn von einem anderen Gerät mit selbiger Datei zugegriffen wird, da diese ja nicht an das Ursprungsgerät gekoppelt ist. Es wird eine Geräte ID gesendet, aber auf dem Gerät nicht mehr geprüft! Und im Zweifel merkt es der User erst gar nicht.
Ein Ändern des Passworts durch den ursprünglichen Nutzer habe keine Auswirkung, da die in der Konfigurationsdatei gespeicherte ID weiterhin gültig bleibt und Dropbox die Login-Daten nicht erneut abfragt.
Hm, ich ändere mein Passwort und die selbe "alte" Datei funktioniert auf einem anderen Gerät immer noch? Bei allen anderen mir bekannten Programmen, muss ich spätestens jetzt das neue Passwort auf einem anderen Gerät eingeben.
Ich gebe dir recht, wenn die Datei abhanden kommt, ist dies eine gänzlich andere Sicherheitslücke. Hier geht es aber ausschließlich um die fehlende Sicherheit in der Datei selber. Und sich auf einem Windows-System einen Trojaner einzufangen, war in der Vergangenheit zumindest nicht weiter schwierig.
-
Klar, wenn erst einmal jemand Zugriff auf den Rechner hat um an die config.db zu kommen, hat man noch ganz andere Probleme.
Interessant und meiner Meinung nach schlecht gelöst ist es, dass für den Zugriff auf die Dropbox eben kein Kennwort benötigt wird.
Wie Thyrfing ja schon schreibt, ist es normalerweise üblich bei solchen Diensten, dass die lokale Anwendung das Kennwort speichern kann und bei jedem Zugriff diese gespeicherte Version benutzt. In dem Fall kann auch jemand durch Steheln einer entsprechenden Datei auf den Dienst zugreifen. Sobald ich aber das Kennwort ändere, geht das nicht mehr.
DropBox scheint hier ein noch einfacheres System zu verwenden. So ähnlich wie auf Websiten die Session-ID, mit der Besucher während eines Besuches identifiziert werden. Klaut man die Session-ID, solange sie gültig ist, kann auch jeder die Identität übernehmen.
Komisch finde ich schon, dass DropBox nicht das übliche System verwendet hat.
-
Andere SicherheitsMängel der (iOS-)Dropbox tauchten breits hier auf unserer Insel auf:
http://www.apfelinsel.de/forum/index.php/topic,4418.msg62210.html#msg62210
Hier kann man eine "Eingabe" für mehr Verschlüsselung auch auf mobilen BetriebsSystemen unterstützen:
https://www.dropbox.com/votebox/4452/enhanced-mobile-client-communication-security-encrypt-both-files-and-metadata-
-
Ah, danke! Hatte ich vergessen. (Oder nenne mich einfach suchfaul...) :D
-
@radneuerfinder:
Ja, diesen "Bug" finde ich noch erheblich schlimmer.
-
Und hier https://www.dropbox.com/votebox/4756/change-security-to-not-just-use-hostid- kann man seine Stimme dafür abgeben, dass zusätzliche Sicherheit bzgl. der in diesem Thread genannten Geschichte eingerichtet wird.
Bisher leider nur wenige Stimmen … habe meine letzten zwei Votes dafür gegeben :D
-
Habe auch mal abgestimmt. Warum habe ich 6 Votes? Eigenartig...
-
Mh, ich hatte nur 5 … vielleicht bist Du länger dabei als ich? Oder hast Dich schon mal im Forum o.ä. geäußert? Dir Ruhm erworben? :)
-
Könnten auch nur 5 gewesen sein..
Habe die DB ca. 1 Jahr. Mich wunderte nur, dass ich mehr als eine Stimme habe. Das erscheint mir irgendwie sinnlos. Aber gut, ist ja auch nicht ganz so wichtig.
Ruhm und Ehre - da warte ich noch drauf ;)
-
Ich hatte auch sechs, und nun sagt er, ich hätte fünfzehn verbraucht.
Dabei war mir die Seite noch gar nicht bekannt, komisch.
-
Sehr vertrauenserweckende Seite, insgesamt. :)
-
Dass die Dropbox in neuer Version erschienen ist, hat Thyrfing ja schon erzählt.
Aber hier ist neue (?) Info, wie man in seiner Dropbox mehr Sicherheit implementieren kann:
- Dropbox und TrueCrypt – verschlüsselte Daten in der Cloud (http://stadt-bremerhaven.de/dropbox-und-truecrypt-verschluesselte-daten-in-der-cloud)
- How to increase the privacy and the safety of your data on Dropbox (http://wiki.dropbox.com/Regole/IncreasePrivacyAndSafety)
-
Dropbox erweckte immer den Eindruck, sie könnten selbst die Daten der User nicht entschlüsseln. Neuerdings steht aber in den AGBs, dass sie die Daten bei Behördenanfrage entschlüsseln und übergeben werden.
http://www.tuaw.com/2011/04/19/dropbox-under-fire-for-security-concerns/
Natürlich empfiehlt es sich sowieso nicht, sensible Daten auf fremde Server zu laden, schon gar nicht unverschlüsselt. Aber kommt Verschlüsselung ins Spiel, wird's eben gleich komplizierter. Und Dropbox warb ja immer, sie würden Bequemlichkeit und absolute Sicherheit verbinden. Mission failed.
-
Mh… ich fürchte, es ist das einfache Problem mit den Eiern und dem Omelette: Man kann halt kein Omelette backen, ohne die Eier zu zerschlagen. Im Englischen wäre das »you can’t eat the cake and have it«.
-
Umso problematischer, wenn man dann den Eindruck erweckt, man könne eben doch Beides haben. Und da sehe ich Dropbox auf der Anklagebank.
-
http://www.mactechnews.de/news/index.html?id=149799
-
Und wieder schlechte Nachrichten über Dropbox:
Angeblich hat nicht nur der User selber, sondern auch die Firma Dropbox Zugang zu den gespeicherten Daten. Laut Dropbox werden die Daten verschlüsselt abgelegt. In der Beschreibung des Dienstes stand früher, dass "die Daten verschlüsselt abgelegt werden und nur der Benutzer Zugriff hat". Diese Beschreibung wurde geändert, dass "die Daten verschlüsselt abgelegt werden".
Dropbox soll für alle Benutzer den gleichen Schlüssel verwenden und somit dann Zugriff auf alle Daten haben.Vorteilhaft ist das für Dropbox, da identische Dateien von verschiedenen Nutzern dann nicht mehrfach abgespeichert werden müssen.
Bericht von wired.com. (http://www.wired.com/threatlevel/2011/05/dropbox-ftc/)
Blog von Dropbox. (http://blog.dropbox.com/?p=735)
-
http://www.heise.de/newsticker/meldung/Dropbox-akzeptierte-vier-Stunden-lang-beliebige-Passwoerter-1264100.html
-
http://www.golem.de/news/cloud-speicher-fraunhofer-forscher-warnen-vor-dropbox-co-1205-91800.html
-
Dropbox: "A stolen password was also used to access an employee Dropbox account containing a project document with user email addresses. We believe this improper access is what led to the spam":
http://lifehacker.com/5930706/dropbox-confirms-user-email-leaks-offers-new-security-features
http://www.heise.de/security/meldung/Dropbox-bestaetigt-Datenleck-1656798.html
-
Dieses ganze „Clouden“ wird noch ein böses Erwachen geben.
-
Zunächst als Beta:
http://www.mactechnews.de/news/article/Dropbox-fuehrt-Zwei-Schritt-Identifizierung-ein-153808.html
Ergänzung - so funktionierts:
http://www.heise.de/security/meldung/Dropbox-testet-Zwei-Faktor-Authentifizierung-1675829.html
-
http://www.heise.de/security/artikel/Dropbox-ist-ziemlich-sicher-1746596.html
-
Zwei Entwicklern ist es gelungen, den Cloud-Dienst Dropbox einem Reverse Engineering zu unterziehen:
http://winfuture.mobi/news/77636
-
http://www.golem.de/news/onlinespeicher-dropbox-oeffnet-dokumente-fuer-vorschaugenerierung-1309-101599.html
-
http://www.heise.de/newsticker/meldung/Dropbox-oeffnet-doc-Dateien-nicht-mehr-1958579.html
-
http://www.teltarif.de/dropbox-agb-schiedsverfahren-optout/news/54889.html
-
Dropbox hat alle(?) - bis zum 4. Mai 2014 erstellten - Links auf Dateien abgeschaltet. Um einen funktionierenden Link zu haben muss in Dropbox ein neuer Link freigegen (erstellt) werden:
http://www.mactechnews.de/news/article/Dropbox-verwirft-bisherige-Sharing-Links-wegen-Sicherheitsluecke-158374.html
-
Bei unseren Tests stießen wir auf keinen ungewöhnlichen Datenverkehr:
http://www.heise.de/security/meldung/Dropbox-unter-Schnueffelverdacht-2565990.html
-
http://www.heise.de/newsticker/meldung/Dropbox-auf-dem-Mac-Scharfe-Kritik-an-Rechteausweitung-3318946.html