| Kopie einer Datei reicht aus, um unbemerkten Zugriff auf Daten zu bekommen. In den letzten Jahren sind Online-Services zum Abgleich der eigenen Daten zwischen mehreren Rechnern immer beliebter geworden, zu den prominentesten Vertretern dieser Sparte zählt Dropbox. Mit Clients für zahlreiche Plattformen - von Windows, Mac und Linux bis zu Android, iOS und Blackerry - legt man vor allem Wert auf die besonders einfache Nutzung, die Synchronisation wird zum Kinderspiel. Probleme - Ein Spiel, das aber durchaus so seine Gefahren birgt, wie nun der Sicherheitsexperte Derek Newton von Time Warner warnt: Bei seinen Untersuchungen des Windows-Clients sei er auf eine schwerwiegende Sicherheitslücke gestoßen: Dropbox speichert alle Informationen zur Autorisierung in einer einzigen Datei ab, nämlich in der config.db im Verzeichnis %APPDATA%\Dropbox. Das Problem dabei: Diese Einstellungen sind in keinster Weise an den jeweiligen Rechner gebunden. Kopie - Wem es also gelingt diese Datei zu kopieren, kann sie einfach auf einen eigenen Rechner spielen und in Folge dort alle Daten vom betreffenden Dropbox-Account mitsynchronisieren. Dies noch dazu völlig unbemerkt, da die solcherart geklonte Installation nicht als neues System aufscheint. Selbst das Ändern des Passworts durch den ursprünglichen User hätte hier keine Auswirkungen, Dropbox überprüft nämlich nur die lokal vergebene ID, nicht jedes mal die konkreten Login-Daten. Szenario - Als konkretes Angriffsszenario zeichnet Newton das Auslesen der config.db durch einen Trojaner. In Folge könnten AngreiferInnen dann den Dropbox-Account nicht nur zum Auslesen der Daten sondern auch zum Einschmuggeln von Malware auf weitere Rechner nutzen. Warnung - Newton hat dieses Verhalten nur für die Windows-Version der Software untersucht, es ist aber durchaus wahrscheinlich, dass Client-Ausgaben für andere Betriebssysteme den gleichen Design-Fehler aufweisen. Der Sicherheitsexperte warnt als Konsequenz vor allem Unternehmen derzeit vor dem Einsatz von Dropbox. Wer nicht auf die Software verzichten will, sollte aber zumindest die Liste der verbundenen Systeme durchgehen und alles entfernen was nicht mehr benötigt wird oder potentiell kompromittiert sein könnte. Zudem sollte man kritische Daten ohnehin nur verschlüsselt abgleichen lassen. Quelle: derstandard.at |
Neue Artikel
- NEWS Sichere Dropbox
- NEWS Informationsverpflichtung bei Datenmissbrauch
- NEWS Neue Hacker-Gruppe "The Unknowns" - Erste Angriffe auf die NASA und ESA
- NEWS Tausende Twitter-Passwörter im Netz veröffentlicht
- NEWS Vorratsdaten: Liste der speicherpflichtigen Betreiber
- NEWS Computer-Sicherheit: Grazer entwickelt neuen Standard
- NEWS Hochsicherheit: Kapsch bunkert Daten im Berg
- NEWS Mac Hacker verdienen 10.000 US-Dollar am Tag
ESCOP empfehlen
Verwandte Beitraege
|
NEWS Sicherheitsrisiko: Experte warnt vor Online-Speicher Dropbox
|
