Der Security-Experte Jerod Brennen hat in der Android-App von
Dropbox eine umfangreiche Liste entdeckt, die mehr als 85.000 Passwörter enthält. Jedes dieser Kennwörter wird nach seiner Aussage von der Dropbox-App nicht akzeptiert, wenn der Nutzer es beim Anlegen eines neuen Accounts verwenden will.
Die Liste der unerwünschten Einträge enthält simple Passwörter wie „12345“, „qwerty“ und „letmein“ und viele andere meist englischsprachige Wörter. Dropbox will die Nutzer auf diese Weise zur Verwendung sicherer Passwörter bewegen.
Die Kennwortliste, die von Brennen
hier veröffentlicht wurde, ist auch für Nicht-Dropbox-Nutzer interessant, um die Sicherheit der eigenen Passwörter zu prüfen. Steht das Kennwort auf der Liste, sollte man es schleunigst ändern.
Zu leicht wäre es mit einem Brute-Force-Angriff zu knacken, bei dem ein Angreifer einfach genau so eine Liste mit Passwörtern nacheinander durchprobiert.
Die Liste lässt sich leicht selbst aus der Dropbox-App extrahieren. Es genügt, die APK-Datei zum Beispiel direkt
von der Dropbox-Webseite herunterzuladen und dann mit einem Entpack-Programm wie
7-Zip zu entpacken. .APK ist nämlich nur ein Container-Format ähnlich wie .ZIP. Anschließend findet man die Liste im Unterordner „assets\js“ als Datei „pw.html“.
Am Montag hat Dropbox eine Reihe neuer Funktionen vorgestellt, die den Cloud-Speicher insbesondere
für Unternehmen interessanter machen soll. Zum Beispiel lassen sich jetzt mehrere unterschiedliche Administratorrollen festlegen.