Zwakke plek ontdekt in Dropbox
Door een zwakke plek in synchronisatiedienst Dropbox is het mogelijk om ongemerkt aan iemands bestanden te geraken.
Het gaat om het configuratiebestand dat Dropbox op Windowscomputers installeert. Wanneer je dit van iemands pc kan halen, zijn alle gesynchroniseerde bestanden te bekijken vanaf elk systeem.
Het lek werd volgens H-Online ontdekt door beveiligingsspecialist Derek Newton. Volgens hem is het een kwestie van één klein bestand stelen, om vervolgens anoniem en ongezien toegang te krijgen tot iemands Dropboxbestanden.
Dropbox is een populaire synchronisatiedienst. Je installeert het programma, dat zich voordoet als een map op je pc, maar alle bestanden in de map zijn ook onmiddelijk gesynchroniseerd met het web. Zo kan je, na het inloggen, overal aan je bestanden. In de gratis versie kan je zo tot twee gigabyte online bewaren.
Wachtwoord wijzigen?
Newton waarschuwt dat het configuratiebestand als een soort token werkt. Daardoor kan je je niet beschermen door simpelweg je wachtwoord te veranderen. Hoewel je eerst dat bestand van iemands pc moet stelen, wijst Newton erop dat dit makkelijk kan, bijvoorbeeld door het systeem te infecteren met een trojan die vervolgens op zoek gaat naar dat bestand.
Volgens H-Online kan je gecompromitteerde computers wel toegang weigeren. Dat kun je instellen op www.dropbox.be/account, waar je bij ‘My computers’ alle toestellen ziet die zijn gelinkt aan je account. Door op ‘unlink’ te klikken, krijgen ze niet langer toegang.
In een reactie op het forum van Dropbox zegt technisch directeur Arash Ferdowsi dat hij het niet eens is. Zijn redenering is dat zodra iemand toegang heeft tot je pc, fysiek of via een trojan, dat je gesynchroniseerde bestanden sowieso te bekijken zijn, aangezien ze al op dat toestel staan. Wel zegt hij na te denken over mogelijke verbeteringen in het systeem.
