Sicherheitslücke bei Filehostern
Dieser Artikel ist älter als ein Jahr!
Viele Filehoster arbeiten mit dem Prinzip, dass gespeicherte Dateien nur von den Usern heruntergeladen werden können, die den genauen Link zu dem File wissen. Forscher haben nun ermittelt, dass es oft sehr einfach möglich ist, die entsprechenden Links zu generieren. Vermeintlich sichere Dateien sind somit einer unbestimmt großen Anzahl an Nutzern zugänglich.
Der Gedanke hinter der Technik ist, dass Links zu bestimmten Files nur sehr schwer erraten oder generiert werden können und die Datei somit nur dem Kreis Internet-Nutzer zugänglich ist, dem die Verknüpfung wissentlich übermittelt wurde. Dieser Link kann somit über Foren oder E-Mail versandt werden, RapidShare bewirbt die Technik etwa damit, dass Daten mit Freunden, Kollegen Familie sicher geteilt werden können.
Gefahr ist nicht theoretisch
Laut den Forschern aus Belgien und Frankreich arbeitet jedoch ein „signifikanter Prozentsatz“ der 100 Filehoster mit unsicheren Methoden. Außenseitern können somit also sehr einfach Zugang zu den vermeintlich sicheren Dateien erlangen. Die Experten hielten fest, dass derartige Attacken nicht nur theoretischer Natur sind, sie werden auch bereits in der Praxis umgesetzt. "Die Filehoster behaupten, dass ihre Links nicht erraten oder generiert werden können. Unsere Studie zeigt, dass das eindeutig unwahr ist", so die Wissenschaftler in ihrem Forschungspapier.
Die Untersuchung deckt auf, dass spezielle Web Crawler sehr wohl in der Lage waren, auf die gespeicherten Dateien zuzugreifen. In der Untersuchung haben innerhalb eines Monats 80 verschiedene IP-Adressen auf testweise gehostete Dateien zugegriffen. Mit einem eigenen Script konnten die Forscher mehrere Tausend, vermeintlich sichere, URLs sammeln. Um das Problem nicht zu verschärfen, veröffentlichen sie in dem Bericht keine Details, welcher Filehoster für welche Art von Attacke verwundbar ist.
Schutz durch Verschlüsselung
Die einzig wirksame Art sich zu schützen und trotzdem noch die Dienste der Filehoster zu nutzen, sei eine externe Verschlüsselung. Im Rahmen der Studie wurde ein Addon für den Browser Firefox entwickelt, der Dateien direkt beim Hochladen ver- und beim herunterladen wieder automatisch entschlüsselt.
Statement von Rapidshare
Rapidshare hielt gegenüber der futurezone fest, dass ihr Dienst von der untersuchten Schwachstelle nicht betroffen sei. "Bei RapidShare ist die Angabe des korrekten Dateinamens erforderlich, um auf eine Datei zugreifen zu können. Die Kombination aus File-ID und Dateiname macht einen Download-Link bei RapidShare nicht erratbar.", so ein Sprecher des Unternehmens
Kommentare