Dropbox: Analyse zeigt große Sicherheitslücken

[Christoph]

Zitat:

Mit mehr als 100 Millionen Nutzern, die jeden Tag über 1 Milliarde Dateien hochladen, ist Dropbox der beliebteste Cloud-Speicherdienst der Welt. Wie sicher die Daten dort sind, hat nun eine umfangreiche Analyse der University of British Columbia untersucht. Dabei zeigen die Forscher, wie man Dropbox-Zugänge knackt, die Zwei-Faktor-Authentifizierung umgeht und Daten aus SSL-Verbindungen fischt.

Host-ID öffnet Dropbox

Für die Sicherheitsanalyse wurden die Dropbox-Clients per Reverse-Engineering untersucht, denn Dropbox gewährt keinen Einblick in die verwendete Technik und dokumentiert auch seine API nicht. Eine gern genutzte Schwachstelle ist die sogenannte Host-ID. Diese eindeutige Nummer wird jedem Gerät zugeordnet, das Nutzer mit einem Dropbox-Client bestücken. Früher wurde diese ID im Klartext gespeichert, Datendiebe konnten sie also einfach kopieren. Mittlerweile ist sie verschlüsselt. Trotzdem gelang das Auslesen der Host-ID mit wenig Aufwand, denn Dropbox speicher den Key dafür auch auf dem Gerät.

Zwei-Faktor-Authentifizierung austricksen

Wer mehr Schutz für seine Daten will, nutzt wahrscheinlich die Zwei-Faktor-Authentifizierung. Neben dem Passwort ist dann zum Einloggen auch noch ein PIN-Code nötig. Diesen schickt Dropbox entweder per SMS aufs Handy oder Nutzer erzeugen ihn mit einer Smartphone-App. Das Problem: Die Zwei-Faktor-Authentifizierung wird nur genutzt, wenn man sich auf der Dropbox-Webseite anmeldet. Die Clients unterstützen die doppelte Abfrage von Passwort und PIN nicht. Es reicht also die oben beschriebene Methode mit einer geklauten Host-ID, um auch die Zwei-Faktor-Authentifizierung auszuhebeln. (jg)

Quelle: http://www.chip.de/news/Dropbox-Anal..._63862378.html