Forscher haben Dropbox-Client geknackt

CloudSicherheit
Dropbox Logo (Bild: Dropbox)

Das dafür angewendete Verfahren lässt sich auch auf andere Python-Anwendungen übertragen. Dhiru Kholia und Przemyslaw Wegrzyn wollen nun die Sicherheit der Dropbox-Plattform weiter analysieren. Experten befürchten, dass Hacker zum Beispiel einen gefälschten Dropbox-Client entwickeln könnten.

Dhiru Kholia und Przemyslaw Wegrzyn ist es gelungen, per Reverse Engineering den Quellcode des Dropbox-Clients zu knacken. Die Sicherheitsforscher haben dazu den “verschleierten” Python-Code der Anwendung entpackt, entschlüsselt und dekompiliert. Details haben sie in dem Bericht “Ein Blick in die (Drop) Box” veröffentlicht.

dropbox-logo

Das angewandte Verfahren lässt sich den Programmierern zufolge auch auf andere geschützte Python-Anwendungen übertragen. Zudem könnten Hacker die Zwei-Faktor-Authentifizierung umgehen. Der Sicherheitsexperte Robert Schifreen befürchtet zudem, dass eine Öffnung des Quellcodes eine Gefahr für Nutzer darstellt. Ein gefälschter Dropbox-Client könne beispielsweise benutzt werden, um Anmeldedaten zu sammeln, sagte er im Gespräch mit TechWeekEurope.

Dropbox hat schon vor Jahren Maßnahmen ergriffen, um den Quellcode seiner Anwendung vor Hackern und der Konkurrenz zu schützen. So sind nicht einmal die Programmierschnittstellen nicht dokumentiert. Dem Unternehmen wird in diesem Zusammenhang vorgeworfen, “Sicherheit durch Verdunkelung” zu praktizieren, indem es das Innenleben seines Clients verbirgt und hofft, dass fehlende Informationen Angriffe verhindern.

Laut Kholia und Wegrzyn sei die Sicherheit von Dropbox bisher noch nicht ausreichend analysiert worden. Die meisten “geheimen Zutaten” befänden sich auf der Server-Seite, die ohnehin gut geschützt sei. “Wir glauben nicht, dass die Maßnahmen zum Schutz vor Reverse Engineering zum Vorteil von Dropbox-Nutzern und des Unternehmens sind.”

Ihre Arbeit soll Dropbox langfristig dabei helfen, einen widerstandsfähigeren Client zu entwickeln. “Der größte Vorteil unseres Beitrags ist die Öffnung der Dropbox-Plattform für weitere Sicherheitsforschung und Analysen. Dropbox sollte und wird nicht länger eine Black Box sein”, schreiben sie in ihrem Bericht.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Sind Sie ein Fachmann in Sachen Cloud Computing? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen