7Aug

Dropbox... Pustit míč nebo ho jen ukrást?

Krade vám tedy dropbox vaše data nebo se jen synchronizuje s určenou složkou?

Dropbox by samozřejmě mohl ukrást vaše data. Koneckonců to vyžaduje instalaci do vašeho systému. Aplikace Dropbox používá proces monitorování systému souborů ke zjišťování změn provedených během monitorování událostí zápisu systému souborů. Toto je ve skutečnosti celosystémový proces, který upozorňuje, že „přistupuje“ k novému souboru.

Rozšíření prostředí Dropbox, které s největší pravděpodobností spouští tyto události, jak je popsáno v Střední vysvětlení @razvanh. aplikace běžně komunikuje se svou synchronizační infrastrukturou na koncových bodech Dropbox a AWS (AWS CloudFormation). Podle této logiky poskytnuté důkazy neukazují, že aplikace čte nebo přenáší nějaké soubory mimo vaši složku Dropbox; ale ani to nevyvrací.

Je možné tuto hypotézu otestovat, ano.

  1. Vytvořte velký soubor (1 MB) mimo složku Dropbox
  2. Sledujte využití sítě aplikací Dropbox a zjistěte, zda odesílá dostatek dat, že by to mohl být tento soubor
  3. Opakujte s mnoha různými soubory atd.

Dropbox odeslal pouze několik set KB po „přístupu“ k cílovému souboru. Podobné komunikačním vzorům, když Dropbox provádí rutinní kontroly serveru. Podle těchto důkazů Dropbox po „přístupu“ k cílovému souboru odeslal pouze několik stovek KB. Stejné vzory, když Dropbox provádí rutinní kontroly serveru.

  1. Vytvářejte cílové soubory mimo složku Dropbox, různé velikosti, většinou textové
  2. Pomocí monitorování procesu zjistíte, kolik bajtů bylo přečteno

Pokud Dropbox skenuje nějaké soubory, měl by načíst větší počet bajtů, než je rozsah kilobajtů, který činí je pravděpodobné, že Dropbox tyto soubory nekontroluje kromě volání funkce stat() v rámci své služby monitorování souborů.

Sečteno a podtrženo:

Důkazy o tom, že Dropbox krade vaše data, jsou slabé, mají nastaveno sledování změn ve vašem systému. Ale to se dá očekávat u aplikací tohoto druhu, které synchronizují data. Lepší otázka je, mohli. Krátká odpověď, ano, může jakákoli aplikace třetí strany, která využívala nástroje pro monitorování na úrovni operačního systému. Dlouhá odpověď ne, ale ne z technických důvodů. Těch pár kilobajtů, které jsou monitorovány, stačí pro zjištění změn v aktuálním stavu souborů, to by bylo zvýšit pokud byla data přesouvána nebo přenášena na server třetí strany.