Zwakke plek ontdekt in Dropbox
Bekijk bestanden op afstand
12 april 2011 | Pieterjan Van Leemputten
Door een zwakke plek in synchronisatiedienst Dropbox is het mogelijk om ongemerkt aan iemands bestanden te geraken.
Het gaat om het configuratiebestand dat Dropbox op Windowscomputers installeert. Wanneer je dit van iemands pc kan halen, zijn alle gesynchroniseerde bestanden te bekijken vanaf elk systeem.
Het lek werd volgens H-Online ontdekt door beveiligingsspecialist Derek Newton. Volgens hem is het een kwestie van één klein bestand stelen, om vervolgens anoniem en ongezien toegang te krijgen tot iemands Dropboxbestanden.
Dropbox is een populaire synchronisatiedienst. Je installeert het programma, dat zich voordoet als een map op je pc, maar alle bestanden in de map zijn ook onmiddelijk gesynchroniseerd met het web. Zo kan je, na het inloggen, overal aan je bestanden. In de gratis versie kan je zo tot twee gigabyte online bewaren.
Wachtwoord wijzigen?
Newton waarschuwt dat het configuratiebestand als een soort token werkt. Daardoor kan je je niet beschermen door simpelweg je wachtwoord te veranderen. Hoewel je eerst dat bestand van iemands pc moet stelen, wijst Newton erop dat dit makkelijk kan, bijvoorbeeld door het systeem te infecteren met een trojan die vervolgens op zoek gaat naar dat bestand.
Volgens H-Online kan je gecompromitteerde computers wel toegang weigeren. Dat kun je instellen op www.dropbox.be/account, waar je bij ‘My computers’ alle toestellen ziet die zijn gelinkt aan je account. Door op ‘unlink’ te klikken, krijgen ze niet langer toegang.
In een reactie op het forum van Dropbox zegt technisch directeur Arash Ferdowsi dat hij het niet eens is. Zijn redenering is dat zodra iemand toegang heeft tot je pc, fysiek of via een trojan, dat je gesynchroniseerde bestanden sowieso te bekijken zijn, aangezien ze al op dat toestel staan. Wel zegt hij na te denken over mogelijke verbeteringen in het systeem.
bron: ZDNet
Related Partner info »
Panda Security lanceert bètaversie van Panda Global Protection 2013
27/04/2012 | pressrelease | Partner info : Panda Security NV
Terremark introduceert Enterprise Cloud Private Edition
27/04/2012 | pressrelease | Partner info : Terremark, a Verizon Company
Introductie Cloud Computing
07/07/2011 | whitepaper | Partner info : Terremark, a Verizon Company
Nog meer op ZDNet »
To .be or not to .be
Blog : De Redactie
Het zijn hoogdagen voor ICANN. De organisatie krijgt bakken geld voor nieuwe toplevel domeinnamen. Maar wie staat te springen om ze te gebruiken?
» Boot Windows 8 te snel?
news
De opstarttijd van Windows 8 is zo kort dat er nauwelijks tijd is om in de Veilige Modus te geraken. Microsoft sleutelde daarom flink aan de bootcyclus.
» Antwerpse jeugd kan begeleid gamen
news
In Antwerpen opent vandaag Gamebox, een project waar jongeren onder begeleiding van specialisten kunnen gaan gamen.
» Super tip: het internet als e-book
help
De webapplicatie Readlists maakt gratis e-books van door jou geselecteerde nieuwsartikelen en verstuurt ze naar je smartphone, tablet of e-reader.
Review: Silent Hill - Downpour
Game
Na een ongeluk met een gevangenistransport kom je in het onheilspellende Silent Hill terecht. Wapens zijn schaars, dus zal je moeten improviseren om te overleven.
