Trojaner ?

[saschabur]

Hallo,

im MacAppStore habe ich mir das kostenlose Programm Myaddress geholt, das sich in der Menübar einnistet und bei Änderungen der privaten IP sowie der WAN-IP kurz Bescheid gibt.

Mit einem Packetsniffer , den ich aus anderen Gründen installiert habe, misste ich feststellen, dass die App ständig nach Hause telefoniert auf
myaddress.ballballg.com in Hongkonk.

Ich habe daraufhin mal Little Snitch installiert und ständigen Datenverkehr mit diesem Server gesehen:
offenbar kontaktiert er diesen Server jede Minute, und in 15 Min laufen
3,89 kB up und 5,06 kB down übers Internet.

Fragen:

- wie kann man feststellen, *was * da genau geschickt wird - ich mit dem Packetsniffer Packet Peeper noch nicht fit genug, um das zu filtern.

- Kann das ein Trojaner sein?


- Werden im MacAppStore denn überhaupt keine Prüfungen vorgenommen, um sowas zu verhindern?



Ich meine , das Ding braucht wirklich für seine Funktion nicht alle Minuten heinzutelefonieren....

 

[dakai]

... Myaddress [...] bei Änderungen der privaten IP sowie der WAN-IP kurz Bescheid gibt.

Ich meine , das Ding braucht wirklich für seine Funktion nicht alle Minuten heinzutelefonieren....

Und wie soll es dann feststellen ob und wie sich deine IP ändert? Es kontaktiert einen Server, der dann die IP Adresse zurückgibt und die Datensätze vergleicht. Ähnlich wie mit den ganezn Auto-DynDNS Service, dort wird in festgelegten Intervallen gecheckt über welche IP du (von außen) erreichbar bist und der Datensatz aktualisiert.

Wenn du permanent darüber informiert werden willst ob sich deine IP ändert, dann musst du auch in Kauf nehmen das dies permanent überprüft wird.

 

[echo.park]

Ein Trojaner ist das wohl keiner, aber gratis Apps haben oft "versteckte" Funktionen, deshalb sind sie ja gratis. Du bezahlst mit deinen Daten. Da gibt es Batterie-Anzeige-Tools für MacBooks, die im Hintergrund ungefragt das Adressbuch "nach Hause" funken, beispielsweise. Letztens eine sehr gute Dokumentation auf 3sat zum Thema Apps gesehen, in den seltensten Fällen ist bei gratis Apps alles koscher.

 

[saschabur]

Danke für die schnelle Antwort.
Ich dachte die aktuell zugewiesene WAN-Adresse kann man auch irgendwo im System nachlesen?
Und: ist denn dafür soviel Datenvolumen notwendig?
3,89 kB up und 5,06 kB down übers Internet.
Und kann man leicht feststellen, *was* da genau geschickt wird?

Ich bin normalerweise wirklich kein Datenschutzreiter, will gerne das Google Streetview haus, Auto und Garten photographiert, aber da kam mir das jetzt aus Sicherheitsgründen komisch vor.

Könnte es eigentlich sein, dass sich in einer App des MacAppStore ein Tastaturlogger versteckt?

 

[saschabur]

@echo.park und was machen die mit den Adressen? Und war das eine App aus dem Appstore?

 

[haRun]

Danke für die schnelle Antwort.
Ich dachte die aktuell zugewiesene WAN-Adresse kann man auch irgendwo im System nachlesen?
Und: ist denn dafür soviel Datenvolumen notwendig?
3,89 kB up und 5,06 kB down übers Internet.
Und kann man leicht feststellen, *was* da genau geschickt wird?

Ich bin normalerweise wirklich kein Datenschutzreiter, will gerne das Google Streetview haus, Auto und Garten photographiert, aber da kam mir das jetzt aus Sicherheitsgründen komisch vor.

Könnte es eigentlich sein, dass sich in einer App des MacAppStore ein Tastaturlogger versteckt?

Es gibt viele Möglichkeiten eine App zu programmieren. Hier wurde wohl sich für den oben beschriebenen Weg entschieden. Ich würde keine App benutzen die nach Hongkong eine Verbindung aufbaut. Jedem sein Ding

 

[dakai]

Und: ist denn dafür soviel Datenvolumen notwendig?
3,89 kB up und 5,06 kB down übers Internet.

Das ist nicht viel. Wenn das in 15 Minuten anfällt und das Ganze pro Minute einmal passiert bleibt da kaum Platz um "Daten" zu übertragen.

Ein einziges TCP/IP Paket kann bis zu 4096 Bytes groß sein. Ein einfacher Ping hat schon bis 56Byte (+ Overhead). Deine App überträgt nach deinen Angaben ca 250 Bytes pro Signal. Das ist dafür, dass eben nicht nur ein Ping hin und her geht sondern ja auch ein Ergebnis angefordert wird nicht wirklich viel.

Und wie gesagt: Du hast ein Programm welches regelmäßig deine IP checken soll, inkl. deiner Public IP und die bekommt man nunmal mit einer externen Abfrage. Das Programm macht demnach genau das, was es soll. Wenn du keine Daten versenden willst dann solltest du kein Programm installieren welches deine Public IP abfragt ^^

 

[saschabur]

OK,danke ! Also geht das wirklich nicht von "innen", die IP festzustellen? Wieder was dazu gelernt.
Bleibt die Frage, wie man am einfachen mal ausfiltern kann, *was* da geschickt wird?
Ich habe noch nicht rausgekriegt wie man Packet Peeper sagen soll, das er nur einen Server mitschreiben soll. Vielleicht gibts ja noch einen einfacheren Weg?

 

[dakai]

OK,danke ! Also geht das wirklich nicht von "innen", die IP festzustellen? Wieder was dazu gelernt

Da du vermutlich mit einem Router im Internet bist gibts nur die Möglichkeit die IP entweder vom Router abzufragen, oder eben von Extern.
http://blog.bigbasti.com/eoffentliche-ip-adresse-bestimmen/
da ist sehr gut verbildlicht, warum dein eigener Rechner seine öffentliche IP im Grunde nicht kennt

Was da gesendet wird sollte dir dein packetsniffer sagen (wenn es denn einer ist) denn dieser hat wie der Name schon nahelegt nicht nur die Funktion zu chekcen *ob* ein Paket gesendet wird, sondern *was genau* dieses Paket beeinhaltet.

 

[saschabur]

Vielen Dank!

 

[echo.park]

@echo.park und was machen die mit den Adressen? Und war das eine App aus dem Appstore?

Die App-Entwickler sammeln diese Daten um sie weiter zu verkaufen, das ist deren Existenzgrundlage. Verkauft wird meist an Werbefirmen, die dann irgendwelchen "Nutzen" aus den Daten ziehen.

Ja, war eine App aus dem Mac App Store. Diese Funktion ist erst beim Update auf ML aufgefallen, weil ML nun nach einer Berechtigung fragt bevor eine App das Adressbuch auslesen darf.

Hier der Beitrag aus dem TV: http://www.3sat.de/mediathek/?mode=play&obj=39360

Es handelt sich hierbei zwar um iPhone/iPad Apps, das kann man aber genauso auf den Mac übertragen.

 

[Rastafari]

Also geht das wirklich nicht von "innen", die IP festzustellen?

Doch, das geht - aber nur mit Routern, die eine speziell dafür gedachte Funktion der Protokolle NAT-PMP und/oder UPnP beherrschen.
Im Zweifelsfall kann man sich für solche Aufgaben ganz simpel mit einem minimalen Shellskript behelfen. Die WAN-IP kann man sich auch von einem vertrauenswürdigen Server holen, der das auf Wunsch in Plaintext auf jede beliebige Anfrage ausliefert.

curl --url 'http://ifconfig.me/ip'