Suchen

Fraunhofer SIT entdeckt Sicherheitslücke in 7 Cloud Storage Services Sicherheitsrisiken bei Cloud-Speicherdiensten

| Redakteur: Peter Schmitz

Cloud-Speicherdienste wie Dropbox, CloudMe und andere erlauben eine Registrierung mit fremden E-Mail-Adressen. Das Fraunhofer SIT sieht hier eine Sicherheitslücke und Möglichkeiten für Spionage und Verbreitung von Malware.

Firma zum Thema

Sieben Cloud-Speicherdienste prüfen bei der Erstellung eines Kontos nicht die eingegebene E-Mail-Adresse und geben Kriminellen so Möglichkeiten für Spionage und Verbreitung von Malware unter fremdem Namen.
Sieben Cloud-Speicherdienste prüfen bei der Erstellung eines Kontos nicht die eingegebene E-Mail-Adresse und geben Kriminellen so Möglichkeiten für Spionage und Verbreitung von Malware unter fremdem Namen.

Sicherheitsexperten des Darmstädter Fraunhofer-Institut für Sichere Informationstechnologie (SIT) haben festgestellt, dass mehrere Cloud-Speicherdienste bei der Registrierung nicht die angegebene E-Mail-Adresse überprüfen. In Kombination mit Funktionen der Cloud-Speicherdienste wie z.B. File Sharing oder integrierten Benachrichtigungsfunktionen ergeben sich dadurch verschiedene Angriffsmöglichkeiten. So können Angreifer unter falschem Namen etwa Malware in Umlauf bringen oder vertrauliche Daten ausspionieren.

Als einer der Träger des Center for Advanced Security Research Darmstadt (CASED) hat Fraunhofer SIT verschiedene Cloud-Speicherdienste untersucht. Dabei fanden die Tester die gleiche Schwachstelle in den kostenfreien Dienstangeboten von CloudMe, Dropbox, HiDrive, IDrive, SugarSync, Syncplicity und Wuala. Eine Beschreibung der möglichen Angriffe und Bedrohungen stellen Mitarbeiter des Fraunhofer SIT am 26. Juni 2012 in Liverpool auf der 11. International Conference on Trust, Security and Privacy in Computing and Communications (IEEE TrustCom) vor.

Nicht alle Anbieter reagieren schnell

Fraunhofer SIT hat die betroffenen Anbieter bereits vor mehreren Monaten informiert. Obwohl die Schwachstelle mit sehr einfachen und bekannten Methoden wie etwa der Versendung einer E-Mail mit Aktivierungslink geschlossen werden kann, gibt es immer noch Anbieter, die keinen Handlungsbedarf sehen.

Dr. Markus Schneider, stellvertretender Institutsleiter des Fraunhofer SIT: „Nach unserem Hinweis haben inzwischen Dropbox, HiDrive, SugarSync, Syncplicity und Wuala reagiert.“ Einige dieser Anbieter verwenden zur Vermeidung der Schwachstelle nun die seit langem bekannte Bestätigungs-E-Mail, andere setzen Mechanismen ein.

Zwei der sieben Anbieter, CloudMe und iDrive erlauben das Sharen von Daten auch weiterhin ohne Überprüfung der E-Mail-Adresse. Während der Angreifer bei CloudMe zumindest noch ie E-Mail-Adresse des Opfers spoofen muss, bietet iDrive einen praktischen Mail-Versand aus dem Webinterface an. “Aus unserer Sicht ist es wichtig, die Verbraucher auf das bestehende Problem hinzuweisen“, so Schneider.

„Leider kann man sich nicht vollständig gegen alle Angriffe schützen, selbst wenn man die betroffenen Dienste meidet. Deshalb ist es wünschenswert, dass die Anbieter der Cloud-Speicherdienste die Schwachstelle beseitigen, da dadurch Verbraucher besser geschützt wären.“

Verbraucher, die die betroffenen Dienste nutzen, sollten vorsichtig sein. Wer eine Aufforderung bekommt, Daten aus der Cloud herunter oder in die Cloud zu laden, sollte per E-Mail beim vermeintlichen Absender nachfragen, ob die Aufforderung wirklich von ihm stammt.

(ID:34329610)