Zwei Sicherheitsexperten von EADS haben dem Dropbox-Client auf den Zahn gefühlt – und sind fast zufrieden.
Die beiden Sicherheitsexperten Florian Ledoux und Nicolas Ruff aus der IT-Abteilung von EADS haben einen kritischen Blick auf Dropbox geworfen und ihre Ergebnisse kürzlich auf der Security-Koferenz hack.lu vorgestellt. Sie erklärten, mit welchen Tricks die Entwickler den in Python geschriebenen Desktop-Client verschlüsselt haben, wie er seine Konfiguration sichert und natürlich auch wie der Datenaustausch funktioniert.
Größere Schwachstellen entdeckten die beiden nicht. "Dropbox ist inzwischen ziemlich sicher", erklärte Nicolas Ruff gegenüber heise Security. Das war freilich nicht immer so. Ein kleineres Sicherheitsproblem kam aber dann doch ans Tageslicht: Der Client prüft ein bestimmtes Zertifikat nicht, wenn er mit anderen Clients im lokalen Netz spricht. Dadurch kann man zum Beispiel den Client eines anderen Netzwerknutzers blockieren.
Die Schwachstelle lässt sich laut den Forschern aber auch zur Überwachung nutzen: Ein Unternehmen könnte etwa überprüfen, ob geheime Firmendokumente das Gebäude durch die Dropbox verlassen (Data Leakage Prevention). Die Sicherheitsexperten haben Dropbox vor der Präsentation über ihre Entdeckung informiert – unter Umständen wurde die Lücke also in der aktuellen Version des Clients bereits geschlossen.
(rei)