Dropbox öffnet Word-Dokumente automatisch

Der Sicherheitsexperte und Blogger Daniel McCauley hat herausgefunden, dass Word-Dateien, die er zu Dropbox hochlud, sofort nach dem Hochladen geöffnet wurden. Dabei half ihm HoneyDocs, ein Werkzeug, das über einen GET-Request Zugriffe auf ins Netz geladene Dokumente registriert und meldet.

Daniel McCauley testete eine Beta-Version von Honey-Docs und suchte nach Einsatzmöglichkeiten. Dabei kam er auf die Idee, seinen Cloud-Storage auf Sicherheit zu testen. Dazu lud er in seinen privaten Dropbox-Account, der so eingerichtet ist, dass nichts geteilt wird, unter anderem einige Office-Dokumente mit der Endung .doc hoch. Nach rund 10 Minuten kam von HoneyDocs die Meldung, auf eines der Word-Dokumente sei zugegriffen worden. Dies wiederholte sich für alle hochgeladenen Dateien dieses Typs. Erste Nachforschungen ergaben, dass die Dateien von LibreOffice geöffnet wurden.

Wie sich daraufhin herausstellte, erstellt Dropbox von Dokumenten im Doc-Format sofort nach dem Hochladen eine Vorschau, so dass privilegierte Personen die Dateien im Browser in der Vorschau sehen können. Das sehen Sicherheitsexperten als potenzielles Risiko an. In den Kommentaren zu der Meldung, die vielerorts kopiert wurde, fragten Anwender nach der Möglichkeit, die Erstellung der Vorschau deaktivieren zu können.

Vor wenigen Wochen erst war eine Studie über Dropbox (PDF) erschienen, in der zwei Wissenschaftler ihren Hack von privaten Dropbox-Accounts beschrieben haben und forderten, Dropbox sollte Open-Source sein, um vertrauenswürdiger zu werden.

Wer verhindern will, dass seine Dokumente automatisch geöffnet werden, sollte sich Werkzeuge wie TrueCrypt oder Boxcryptor anschauen um seine Daten bereits verschlüsselt hochzuladen.