Französische Forscher fanden kaum Lücken

Dropbox ist mittlerweile „ziemlich sicher“

Die Sicherheitsexperten Florian Ledoux und Nicolas Ruff aus der IT-Abteilung des zweitgrößten europäischen Rüstungskonzerns EADS haben sich den Source-Code des Marktführers unter den Cloud-Storage-Diensten unter Sicherheitsaspekten genauer angeschaut. Dropbox hatte in der Vergangenheit des Öfteren Probleme in diesem Bereich.

Erst im August war im Unternehmen ein Rechner gehackt und Passwörter gestohlen worden, womit dann Spam an für Dropbox explizit angelegte E-Mail-Adressen versendet wurde. Im Jahr 2011 konnte nach einem Update der Software kurzzeitig jedermann, der die für Dropbox verwendete E-Mail-Adresse eines anderen Users kannte, in dessen Account eindringen. Sicherheitsforscher Derek Newton hat 2011 eine Analyse unter dem Gesichtspunkt der forensischen Verwertbarkeit von Daten-Überresten nach der Benutzung von Dropbox und ähnlichen Diensten angestellt, die unter Sicherheitsaspekten bei allen untersuchten Diensten mehr oder weniger gravierende Lücken aufdeckte. Dropbox reagierte und erhöhte die Sicherheit, wie Newton am Ende des Artikels in einem Update vermerkt.

Jetzt haben die beiden Sicherheitsforscher von EADS den Code der zur Zeit der Untersuchung aktuellen Software-Version einer kritischen Analyse (PDF) unterzogen und die Ergebnisse in Luxemburg vor zwei Wochen auf der Security-Konferenz hack.lu vorgestellt. Die Analyse betrifft die Versionen 1.1.x bis zur derzeit noch experimentellen Version 1.5.x.

Trotz intensiver Code-Analyse wurden keine gravierenden Sicherheitsmängel in dem in Python realisierten Desktop-Client entdeckt. Lediglich ein kleineres Problem mit einem nicht überprüften Zertifikat beim Datenabgleich mit einem anderen Client trat zutage. Dies wirkt sich allerdings nur im lokalen Netz aus. Ein Nutzer kann so andere Clients im gleichen Netzwerk blockieren.

Die Forscher haben Dropbox vor ihrem Vortrag auf der Sicherheits-Konferenz über die Lücke informiert. Ob diese in der neuen stabilen Dropbox-Version 1.4.21 vom 8. November geschlossen wurde, geht aus dem Changelog nicht hervor.

Dropbox hatte 2011 laut Forbes mindestens 50 Millionen Nutzer und einen Marktwert von geschätzten vier Milliarden US-Dollar.

Anzeige