Sicherheitsproblem bei Dropbox [Update]

Ich bin ein begeisterter und überzeugter Nutzer von Dropbox, weil es mir dieser Dienst erlaubt schmerzfrei Dateien über meine Computer (alle drei Plattformen: Mac OS X, Linux/Ubuntu, Windows) sowie über meine mobilen Geräte (bei mit iOS, aber auch Android) zu syncen. Eben lese ich bei heise online, dass Dropbox eine Sicherheitslücke auf der Client-Seite habe.

heise bezieht sich auf ein Blogposting von Derek Newton, in dem dieser behauptet, dass der Dreh- und Angelpunkt für die Zugriffsberechtigung eines Client-Rechners die Datei config.db in dessen lokaler Dropbox-Konfiguration sei. Es sei problemlos möglich, von einem anderen Rechner ohne Kenntnis des Passworts auf die jeweilige Dropbox zuzugreifen, wenn der Angreifer die jeweilige config.db kopieren kann und auf sein System spielt. Newton spricht in diesem Zusammenhang von insecure by design.

Ich kann den Befund von Derek Newton dahingehend bestätigen, dass ich beim Einrichten meines MacBook Air die Dropbox-Konfig von meinem iMac schlichtweg kopiert habe und ich mich nicht daran erinnern kann, das Passwort eingegeben zu haben. (Als Nebeneffekt greift mein MacBook nun unter der „Identität“ meines iMac auf Dropbox zu, sodass ich es im Ernstfall nicht einzeln sperren könnte. Fixed)

Aus meiner Sicht wird besteht das eigentliche Problem darin dadurch verschärft, dass das entsprechende Verzeichnis mit der Dropbox-Konfiguration sowie die darin enthaltenen Dateien – zumindest – unter Mac OS X und Linux/Ubuntu wordreadable sind, dass heißt, dass jeder Benutzer mit Zugang zum jeweiligen Rechner die Dateien lesen und damit auch kopieren kann.

Es war mir somit unter Mac  OS X möglich, diese Dateien mit dem Gastaccount auszulesen!

Man kann darüber streiten, ob es ein Designfehler ist, wenn das Kopieren von Konfigurationsdateien ausreicht, um ohne Kenntnis des Passwortes auf einen Dienst wie Dropbox zuzugreifen zu können (ich halte es für kein gutes und sicheres Design). In den Kommentaren zum Blogposting von Derek Newton wird über das Für und Wider dieser Vorgehensweise sowie mögliche Lösungsansätze diskutiert.

Die Konfigurationsdateien per default für alle am System angemeldeten (Gast)Benutzer lesbar zu machen, halte ich für den eigentlichen DesignFehler. Ein Programm sollte dafür sorgen, dass sicherheitsrelevante Dateien nur vom User gelesen werden können. Noch besser ist es, wenn das Programm bei zu großzügigen Zugriffsrechten für diese Dateien (z.B. im unixoiden Umfeld ungleich 0700 für das Konfigverzeichnis bzw. 0600 für die Dateien) mit einem Fehler abbricht.

Im konkreten Fall sollte man zumindest die Rechte auf das Verzeichnis mit den Konfigurationsdateien sowie auf die Dateien restriktiv setzen (g-r, g-x, o-r, o-x).

Sofern man vertrauliche Daten in die Dropbox speichert, sollte man dies sowieso nur verschlüsselt tun. Unter unixoiden System wie Linux oder Mac OS X würde ich hierfür EncFS empfehlen (hier im Blog).

Update: Posting am 10.04.2011 um 21:00 Uhr überarbeitet.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Kommentare abonnieren

Es erfolgt keine Weitergabe von Daten an externe Dienste wie WordPress.com.

eMail-Benachrichtigung bei weiteren Kommentaren.
Auch möglich: Abo ohne Kommentar.