Dropbox ist wohl einer der Dienste, die stellvertretend für „Cloud-Dienste“ stehen können: Egal auf welchem System der Dropbox-Client installiert ist, dank der Verbindung zur Cloud sind die per Dropbox gespeicherten Daten überall in der jeweils aktuellen Version vorhanden. Sicherheitsbedenken hatte der Anbieter bislang immer zerstreuen können: Die Daten seien innerhalb von Dropbox vor unbefugtem Zugriff geschützt.

 

Der IT-Sicherheitsexperte Derek Newton hat nun allerdings eine massive Sicherheitslücke im Dropbox-Client ausgemacht, also dem Stück Software, welches die Verbindung zwischen dem Dienst und dem lokalen System erstellt. Das Problem ist, so Newton, dass in der Datei config.db die Host-ID fest gespeichert wird, sobald sich der Nutzer erstmals bei Dropbox mit seinen Zugangsdaten angemeldet hat. Wird die Datei auf ein anderes System kopiert, erhält man sofort Zugang zum Dropbox-Account - und zwar ohne, dass man nach den Zugangsdaten gefragt wird, ohne dass der Nutzer informiert wird und ohne dass der Rechner als neues System in der Übersicht auftaucht. Der Zugriff bleibt sogar bestehen, wenn der Nutzer das Passwort ändert.

 

Das Problem lässt sich von Jedermann mit dem aktuellen Dropbox-Client nachvollziehen - lediglich der betreffende Ordner musste manuell angelegt werden. Wir stellen das Szeneraio nach und hatten von einem bislang nicht verwendeten Rechner aus kompletten Zugriff auf unsere eigene Dropbox. Ohne auf der neuen Maschine jemals die Zugangsdaten eingegeben zu haben.

 

Newton sieht mehrere Angriffsvektoren: Zum einen könnte speziell programmierte Malware auf die config.db zielen - der Pfad ist leicht herauszufinden. Eine Alternative wäre Social Engineering, bei dem Nutzer durch Tricks dazu gebracht werden, die Datei an den Angreifer zu schicken.

 

Solange Dropbox diese Fehler nicht behebt - und Nutzer auf den Dienst nicht verzichten wollen - sollten zusätzliche Sicherheitsvorkehrungen getroffen werden. So können etwa mit Hilfe von Windows BitLocker sowie Programmen wie Truecrypt oder SecurStick verschlüsselte Container in Dropbox erzeugt werden. Diese lassen sich nur mit einem Kennwort öffnen.

 

Außerdem sollte der eigene Dropxob-Account gepflegt werden beziehungsweise auch die mit dem Dienst verbundenen Computer. Wird ein Rechner nicht mehr zum Zugriff benötigt, sollte die Verbindung gelöst werden. Über das Fragezeichen bei „Letzter Aktivität“ im Dropbox-Konto erfährt der Nutzer zudem, welche IP und welche Clientversion zuletzt auf das Konto zugegriffen hat. Sobaldhier Unregelmäßigkeiten auftauchen, sollte die Verbindung sofort getrennt werden. Die hinterlegten Daten werden dann zwar nicht gelöscht, aber nur nach Eingabe der Nutzerdaten hat der Anwender wieder Zugriff auf den Dropbox-Account. Und wenn ein wenig Eigenwerbung erlaubt ist: Mit Live Mesh 2011 hat Microsoft auch eine Alternative zu Dropbox am Start.

 

Gastbeitrag von Michael Kranawetter, Chief Security Advisor (CSA) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates.