Dropbox am Dienstag. Als Cloud-Speicher ist Dropbox bekannt. Dabei versteht man sich als Produktivitäts-Netzwerk für Arbeitsgruppen. Technisch nistet sich Dropbox in das Dateisystem ein. Dabei allerdings verhält man sich nicht ganz sauber. Die App von Dropbox erscheint im Kontrollfeld Sicherheit & Privatsphäre und taucht dort – wie von Geisterhand – wieder auf, nachdem man sie entfernte und die Accessibility-Einstellung auf Anwender-Ebene verriegelt hat.
Dropbox speichert die Berechtigung, sich innerhalb der Privatsphären-Einstellungen abzulegen scheinbar Programm-intern ab. Das stellt eine Sicherheitslücke dar, denn die App ist mit mehr Rechten als nötig ausgestattet, was theoretisch für andere Prozesse genutzt werden könnte, schildert applehelpwriter.com. [ Video: youtu.be/9ZOrDPC8mfw ]
Update: Bezugnehmend auf diesen Bericht erreicht mich ein Statement von Dropbox:
Wie auch andere Applikationen benötigt Dropbox zusätzliche Berechtigungen, um bestimmte Features und Integrationen ermöglichen zu können. Das Betriebssystem auf dem Gerät eines Nutzers kann ihn möglicherweise dazu auffordern, zur Bestätigung sein Passwort einzugeben. Dropbox hat zu keinem Zeitpunkt Einblick in oder Zugriff auf diese Passwörter. Berichte, denen zufolge Dropbox Benutzeroberflächen imitiert oder Systempasswörter abgreift, sind völlig falsch. Wir haben erkannt, dass wir besser kommunizieren müssen, wie diese Berechtigungen genutzt werden und wir arbeiten daran, dies zu verbessern.
Dropbox nutzt keine Hacking-Techniken, um Berechtigungen zu erhalten. Das Dialogfenster für Berechtigungen ist eine Standardbenachrichtigung von Mac OS X, die vom System angezeigt wird, wenn Anwendungen wie Dropbox bestimmte Berechtigungen verlangen. Warum Dropbox um diese Berechtigungen bittet steht in einem FAQ zur Frage Kann ich die Bedienungshilfen deaktivieren?
Unter Mac OS X kann der Zugriff auf die Bedienungshilfen für die Dropbox-Desktopanwendung momentan nicht deaktiviert werden. Das ist nicht ideal, wir arbeiten aber an einer Verbesserung.
[ dropbox.com/help/9266 ]
Update 2: Dropbox ändert TCC.db, dokumentiert mjtsai.com. macOS Sierra schließt diese Lücke.
Anderes Thema:
Mit einem USB-Stick die Anmeldeinformationen an Mac oder PC auslesen, das ist kein Stunt aus einem Agentenfilm, sondern eine reale Bedrohung. Man nehme einen LAN Turtle. Das Ding kostet 50 US-Dollar und ist ein Linux-PC auf einem USB-Stick. Der PC gibt sich als USB-Ethernet-Adapter aus und dringt so innerhalb von 20 Sekunden in das lokale Netzwerk ein.
Auch unsicher ist das Internet-of-Things, denn Sicherheitsexperten finden IoT-Botnet:
Eine Linux-Malware greift aktuell IoT-Geräte wie IP-Kameras mit veralteter Firmware an. Das Besondere an diesem Schädling: Nach der Infektion verwischt er seine Spuren und bleibt nur im Arbeitsspeicher der Geräte präsent. Das erschwert die Analyse.
Sicher sind allerdings US-Wahlcomputer, denn die sind so clunky, dass man die praktisch nicht hacken kann, weiß James Comey. Er ist Director beim Federal Bureau of Investigation (FBI). Russische Agenten können demnach keinen Einfluss auf die Präsidenten-Wahl im November nehmen.
Kommentare sind geschlossen.