Spenden

Dieser Artikel ist mehr als 12 Jahre alt.

Looking Inside the (Drop) Box: Forscher reverse-engineeren Dropbox Client, können Accounts übernehmen

Dropbox Accounts können von Dritten übernommen und die Zwei-Faktor Authentifizierung umgangen werden. Das haben zwei Forscher herausgefunden, nachdem sie den proprietären Client reverse engineered haben. Damit haben sie den Weg bereitet, Dropbox insgesamt weiter unter Sicherheitsaspekten zu untersuchen – und eigene Clients zu schreiben.

  • Andre Meister
Andre Meister
9

dropboxDropbox Accounts können von Dritten übernommen und die Zwei-Faktor Authentifizierung umgangen werden. Das haben zwei Forscher herausgefunden, nachdem sie den proprietären Client reverse engineered haben. Damit haben sie den Weg bereitet, Dropbox insgesamt weiter unter Sicherheitsaspekten zu untersuchen – und eigene Clients zu schreiben.

Auf dem diesjährigen USENIX Workshop on Offensive Technologies gab es wieder eine Reihe spannender Vorträge. Einer davon hat sich den populären Filesharing-Dienst Dropbox, mittlerweile ein 10 Milliaren US-Dollar starkes Unternehmen, genauer angeguckt: Looking Inside the (Drop) Box

This paper presents new and generic techniques, to reverse engineer frozen Python applications, which are not limited to just the Dropbox world. We describe a method to bypass Dropbox’s two factor authentication and hijack Dropbox accounts. Additionally, generic techniques to intercept SSL data using code injection techniques and monkey patching are presented.

We believe that our biggest contribution is to open up the Dropbox platform to further security analysis and research. Dropbox will/should no longer be a black box. Finally, we describe the design and implementation of an open-source version of Dropbox client (and yes, it runs on ARM too).

Davon gibt es ein Paper, Slides, Video, Audio und natürlich den Code.

Viel Spass am Gerät.

Über die Autor:innen

Veröffentlicht

Kategorie

Schlagwörter

, , , , , , ,

Weiterlesen

Thema

Kultur

Thema

Dhiru Kholia

Thema

dropbox

Ergänzungen

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Bitte keine reinen Meinungsbeiträge. Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.

9 Kommentare zu „Looking Inside the (Drop) Box: Forscher reverse-engineeren Dropbox Client, können Accounts übernehmen“

  1. malexmave

    ,

    Was man vielleicht erwähnen sollte: Sie können die Dropbox laut eigenen Angaben nur übernehmen, wenn sie eh schon vollen Zugriff auf den Rechner des Opfers haben.

    1. Andre

      ,

      Our Metasploit plug-in exploits this „property“ and is able to remotely hijack Dropbox accounts. However, the next section will describe a new way of hijacking Dropbox accounts which cannot be patched easily.

      1. malexmave

        ,

        Und das Metasploit-Modul setzt eine offene Shell voraus => Zugriff auf den PC.

      2. malaclypse

        ,

        Das verlinkte Metasploit plug-in startet den Dropbox-Demon im Debug-Modus und liest das Zugangstoken (host_id) aus dem Logfile aus. Damit das funktioniert, braucht man Zugriff auf ~/.dropbox . Remote ist das definitiv nicht.

  2. tom

    ,

    Man sollte vielleicht dazu sagen, dass „Dropbox Accounts können von Dritten übernommen und die Zwei-Faktor Authentifizierung umgangen werden“ vorraussetzt, dass man Zugriff auf einen mit dem Ziel-Account verbundenen Rechner hat. Was in dem Vortrag/Paper beschrieben wird ist zwar richtig cool, aber x‑beliebige Dropbox-Accounts übernehmen kann man damit trotzdem nicht.

  3. Cathryne

    ,

    Die Übersichtsseite der Vorträge ist übrigens ganz toll! Alles schön chronologisch sortiert und Video, MP3, Folien etc. direkt verlinkt :-)

    Danke für den Hinweis!

  4. CKenner

    ,

    Seit dem NSA-Skandal tausche ich Bilder und Dokumente nur noch verschlüsselt über http://www.stackfield.com aus – wenn ich das hier lese bin ich auch ganz froh darüber …

    1. tom

      ,

      Stackfield kenne ich nicht, aber wenn es ähnliche Funktionalität wie Dropbox bietet (eine clientseitige Software, die beim hochfahren automatisch gestartet wird und Dateien automatisch mit dem Server synchronisiert), wird es dasselbe Problem auch dort geben. Der Client muss sich irgendwie beim Server authentifizieren, und wenn das ohne Interaktion des Nutzers geschehen soll (wer will schon bei jedem Hochfahren/Aktivieren des Rechners ein Passwort und bei Zwei-Faktor Authentifizierung auch noch diesen Code eingeben), muss das hierfür verwendete Token (bei Dropbox host_id) in irgendeiner Form auf dem Client-Rechner gespeichert sein. D.h. ein Angreifer mit Zugriff auf diesen Rechner (mit den Rechten des anzugreifenden Benutzers) kann prinzipiell dieses Token ermitteln und hat damit Zugriff auf den Account.

      Was man bei Dropbox kritisieren kann ist, dass man mit der host_id nicht nur Vollzugriff auf die Dateien hat (wie oben beschrieben muss das so sein), sondern auch auf alle anderen Funktionen in diesem Account (Versionsgeschichte betrachten, Passwort/E‑Mail-Adresse ändern, Rechner mit dem Account verbinden/davon trennen, …). Das muss nicht sein und dient ausschließlich der Bequemlichkeit, dass man über das Dropbox-Menü direkt ohne Eingabe des Passworts die Webseite öffnen kann.

      Und mit der NSA hat das wirklich gar nichts zu tun. Wenn die die Daten haben wollen, gehen sie direkt zu Dropbox oder zu Amazon…

  5. Kritiker42

    ,

    Genau wegen dieser Thematik arbeite ich im Zusammenhang mit Dropbox und anderen Cloud-Speichern gerne mit Boxcryptor. Das sind _meine_ Schlüssel.
    Gegen eine Dropbox-Account-Übernahme, wie von tom erwähnt, hilft das natürlich auch nicht, aber wenigstens sind meine Daten wirksam geschützt.

Dieser Artikel ist älter als 12 Jahre, daher sind die Ergänzungen geschlossen.