Filevault - Sicherheit zwischen Benutzern

SquadMan

Grahams Jubiläumsapfel
Registriert
17.12.08
Beiträge
107
Moin

beschäftige mich mit folgender Fragestellung:

Ausgangssituation: Drei User auf Mac OS 10.5 eingerichtet, einer Admin, die anderen beiden Standard. Alle drei Userverzeichnisse sind mit Filevault verschlüsselt. Nennen wir den Admin "Admin", die anderen beiden "User1" und "User2".

User1 hat manchmal etwas sensible Daten drauf und nutzt niemals das Internet. User2 nutzt immer das Internet, holt Mails ab und surft im Internet.

Sollte nunmehr der Fall eintreten, dass sich User2 mit irgendeiner Form von Schadsoftware infiziert, die dann beginnt zu spionieren: Kann sie (basierend auf der Verschlüsselungs- und Berechtigungsarchitektur von OS 10.5) überhaupt in einer irgendwie denkbaren Art und Weise auf eines der beiden anderen Userverzeichnisse zugreifen (selbst, wenn das Programm irgendwie Admin-Rechte erlangen sollte)?

Meinem Verständnis nach ist das unmöglich - aber würde gerne dazu Eure Meinung hören. Wenn Admin und User1 nicht angemeldet ist, sind diese beiden Userverzeichnisse ja immer noch kryptiert ... und auch ein irgendwie zum Admin gewordener User2 würde damit immer nich nichts sehen.

Würde sich dieses anders verhalten, wenn das infizierte Account der Admin-Account wäre?

Bitte keine Diskussion, dass es keine Schadsoftware für Mac gibt ... ich weiss, dass solche Malware existiert. Brauche Eure Hilfe - danke für die Antworten schon mal vorab.

Squad
 

luk!

Wohlschmecker aus Vierlanden
Registriert
22.04.08
Beiträge
236
Direkt kann die Schadsoftware die Daten nicht lesen, da sie verschlüsselt sind. Wenn die Schadsoftware es allerdings schafft, sich auch unter den anderen Accounts zu starten (Autostart-Ordner bzw. Script) kann sie auf die Daten zugreifen, da diese ja entschlüsselt sind. Da normale Nutzer afaik das (globale Autostarts) nicht dürfen, müssten die Daten jedoch sicher sein (wenn nicht der Admin-Account betroffen ist).

Jedenfalls soweit ich weiß, bzw. es mir vorstellen kann.
 

Rastafari

deaktivierter Benutzer
Registriert
10.03.05
Beiträge
18.150
Kann sie ... in einer irgendwie denkbaren Art und Weise auf eines der beiden anderen Userverzeichnisse zugreifen (selbst, wenn das Programm irgendwie Admin-Rechte erlangen sollte)?
Als Normalbenutzer nicht. Als Admin: indirekt ja.
Admins können (in /Library und /Applications) globale Objekte einrichten, die dann unter anderen Konten zur Verwendung kommen. Es wäre also zB möglich als Admin ein getürktes Browser-Plugin oder manipulierte Kontextmenü-Erweiterungen zu platzieren, die dann auch unter allen anderen Konten spionieren, sobald sie aktiviert werden.