Looking Inside the (Drop) Box: Forscher reverse-engineeren Dropbox Client, können Accounts übernehmen

dropboxDropbox Accounts können von Dritten übernommen und die Zwei-Faktor Authentifizierung umgangen werden. Das haben zwei Forscher herausgefunden, nachdem sie den proprietären Client reverse engineered haben. Damit haben sie den Weg bereitet, Dropbox insgesamt weiter unter Sicherheitsaspekten zu untersuchen – und eigene Clients zu schreiben.

Auf dem diesjährigen USENIX Workshop on Offensive Technologies gab es wieder eine Reihe spannender Vorträge. Einer davon hat sich den populären Filesharing-Dienst Dropbox, mittlerweile ein 10 Milliaren US-Dollar starkes Unternehmen, genauer angeguckt: Looking Inside the (Drop) Box

This paper presents new and generic techniques, to reverse engineer frozen Python applications, which are not limited to just the Dropbox world. We describe a method to bypass Dropbox’s two factor authentication and hijack Dropbox accounts. Additionally, generic techniques to intercept SSL data using code injection techniques and monkey patching are presented.

We believe that our biggest contribution is to open up the Dropbox platform to further security analysis and research. Dropbox will/should no longer be a black box. Finally, we describe the design and implementation of an open-source version of Dropbox client (and yes, it runs on ARM too).

Davon gibt es ein Paper, Slides, Video, Audio und natürlich den Code.

Viel Spass am Gerät.

9 Ergänzungen

  1. Was man vielleicht erwähnen sollte: Sie können die Dropbox laut eigenen Angaben nur übernehmen, wenn sie eh schon vollen Zugriff auf den Rechner des Opfers haben.

    1. Our Metasploit plug-in exploits this „property“ and is able to remotely hijack Dropbox accounts. However, the next section will describe a new way of hijacking Dropbox accounts which cannot be patched easily.

      1. Das verlinkte Metasploit plug-in startet den Dropbox-Demon im Debug-Modus und liest das Zugangstoken (host_id) aus dem Logfile aus. Damit das funktioniert, braucht man Zugriff auf ~/.dropbox . Remote ist das definitiv nicht.

  2. Man sollte vielleicht dazu sagen, dass „Dropbox Accounts können von Dritten übernommen und die Zwei-Faktor Authentifizierung umgangen werden“ vorraussetzt, dass man Zugriff auf einen mit dem Ziel-Account verbundenen Rechner hat. Was in dem Vortrag/Paper beschrieben wird ist zwar richtig cool, aber x-beliebige Dropbox-Accounts übernehmen kann man damit trotzdem nicht.

  3. Die Übersichtsseite der Vorträge ist übrigens ganz toll! Alles schön chronologisch sortiert und Video, MP3, Folien etc. direkt verlinkt :-)

    Danke für den Hinweis!

    1. Stackfield kenne ich nicht, aber wenn es ähnliche Funktionalität wie Dropbox bietet (eine clientseitige Software, die beim hochfahren automatisch gestartet wird und Dateien automatisch mit dem Server synchronisiert), wird es dasselbe Problem auch dort geben. Der Client muss sich irgendwie beim Server authentifizieren, und wenn das ohne Interaktion des Nutzers geschehen soll (wer will schon bei jedem Hochfahren/Aktivieren des Rechners ein Passwort und bei Zwei-Faktor Authentifizierung auch noch diesen Code eingeben), muss das hierfür verwendete Token (bei Dropbox host_id) in irgendeiner Form auf dem Client-Rechner gespeichert sein. D.h. ein Angreifer mit Zugriff auf diesen Rechner (mit den Rechten des anzugreifenden Benutzers) kann prinzipiell dieses Token ermitteln und hat damit Zugriff auf den Account.

      Was man bei Dropbox kritisieren kann ist, dass man mit der host_id nicht nur Vollzugriff auf die Dateien hat (wie oben beschrieben muss das so sein), sondern auch auf alle anderen Funktionen in diesem Account (Versionsgeschichte betrachten, Passwort/E-Mail-Adresse ändern, Rechner mit dem Account verbinden/davon trennen, …). Das muss nicht sein und dient ausschließlich der Bequemlichkeit, dass man über das Dropbox-Menü direkt ohne Eingabe des Passworts die Webseite öffnen kann.

      Und mit der NSA hat das wirklich gar nichts zu tun. Wenn die die Daten haben wollen, gehen sie direkt zu Dropbox oder zu Amazon…

  4. Genau wegen dieser Thematik arbeite ich im Zusammenhang mit Dropbox und anderen Cloud-Speichern gerne mit Boxcryptor. Das sind _meine_ Schlüssel.
    Gegen eine Dropbox-Account-Übernahme, wie von tom erwähnt, hilft das natürlich auch nicht, aber wenigstens sind meine Daten wirksam geschützt.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.