Handbrake Download mit Trojaner verseucht

Adelar3x

Thurgauer Weinapfel
Registriert
11.09.13
Beiträge
1.001
Man muss, wie inzwischen bereits einige gepostet haben, bei jeder Softwareinstallation das Adminpasswort eingeben. So lange diese Abfrage aber nicht von der jeweiligen Software, sondern vom OS veranlasst wird, besteht hier keine Gefahr. Gefährlich wird es nur, wenn zb eine Antivirensoftware eine Passwortabfrage von MacOS simuliert und damit versucht Passwörter abzugreifen.
 
  • Like
Reaktionen: Papa_Baer

Kernelpanik

Herrenhut
Registriert
05.03.04
Beiträge
2.300
LOL, ich halte das ganze für ein Gerücht. Ich habe am 3.Mai das Handbreak Update runtergeladen und nichts von den beschriebenen Dingen entdeckt. Also, weiter geht's mit Handbreak.
 

u0679

Moderator
AT Moderation
Registriert
09.11.12
Beiträge
7.332
Na ja, Gerücht wohl kaum, wenn der Hersteller selber die Warnung raus gibt.
 
  • Like
Reaktionen: Archetyp

Macbeatnik

Golden Noble
Registriert
05.01.04
Beiträge
34.205
@Kernelpanik
Wenn du dir die Warnung von handbrake auf deren Webseite durchließt, dann wirst du sehen, das nur bestimmte Server von diesem Problem betroffen waren und das es durchaus Nutzer geben kann, die nicht betroffen sind.
 

Lemming

Finkenwerder Herbstprinz
Registriert
22.02.04
Beiträge
464
Betrifft das eigentlich nur ein .dmg oder auch eine Aktualisierung aus dem Programm heraus?
 

i_On

Morgenduft
Registriert
30.01.13
Beiträge
164
Habe auch noch die Version 1.0.3 drauf, aber trotzdem mal nach der Anleitung oben durchsucht.
Glücklicherweise nichts gefunden. Danke Apfeltalk, für den Artikel und die Tipps! a:t
 

_macminimal

Melrose
Registriert
11.11.14
Beiträge
2.489
Nicht das ich Handbrake installiert hätte, aber das ein "einfacher" Trojaner direkt "problemlos" an das gesamte Schlüsselbund rankommt, ist ja nicht gerade beruhigend. Habe ich das richtig verstanden? Nutz der Trojaner das Admin-PW das bei der Installation abgefragt wird oder wie? Gibt es ab dem Punkt keinerlei Sicherheitsmechanismen? Ist jede OS-Version gleich betroffen?
 

echo.park

deaktivierter Benutzer
Registriert
08.06.11
Beiträge
11.076
Gute Frage. Aber ich denke mit dem Benutzerkennwort, in dem Fall dem des Admin, ist der Schlüsselbund quasi "geöffnet" und kann ausgelesen werden.
 

kelevra

Stahls Winterprinz
Registriert
12.07.10
Beiträge
5.165
Auf einem unserer mac Mini Server war tatsächlich "Activity_agent" Task vorhanden. :(
Handbrake wurde ausgerechnet am 02.05. installiert.

Von Handbrake wechseln muss man jetzt sicherlich nicht. Wer unbedingt eine Alternative sucht, dem kann ich auch noch iFFMPEG ans Herz legen. Das ist quasi ein grafisches Frontend für die freie ffmpeg Bibliothek. Letztere muss man separat installieren. ffmpeg kann man auch ohne GUI über das Terminal verwenden.
 

_macminimal

Melrose
Registriert
11.11.14
Beiträge
2.489
Gute Frage. Aber ich denke mit dem Benutzerkennwort, in dem Fall dem des Admin, ist der Schlüsselbund quasi "geöffnet" und kann ausgelesen werden.

Naja, das wiederum würde ja bedeuten, da jede Software die mittels AdminPW installiert wird Zugriff auf "alles im Schlüsselbund" hat. Ich bin ehrlich gesagt davon ausgegangen, das sich eine Software dort eintragen kann, aber quasi nur sich selbst und die eigenen Einträge dort kennt.

Das eine nicht systemseitige Software Vollzugriff auf alle PWs im Schlüsselbund hat?!
 

jack_pott

Rheinischer Krummstiel
Registriert
15.12.07
Beiträge
379
Naja, das wiederum würde ja bedeuten, da jede Software die mittels AdminPW installiert wird Zugriff auf "alles im Schlüsselbund" hat. Ich bin ehrlich gesagt davon ausgegangen, das sich eine Software dort eintragen kann, aber quasi nur sich selbst und die eigenen Einträge dort kennt.

Das eine nicht systemseitige Software Vollzugriff auf alle PWs im Schlüsselbund hat?!

Die kompromittierte Software erfragt mittels fingierter Auth. das Admin-Passwort. Damit kann sie theoretisch alles machen. Der normale Weg einer Software, mit dem SchlüBu zu hantieren, wäre über die entsprechenden Systemdienste.
Du selbst kannst ja mit dem Admin-Passwort auch alle Schlüssel lesen. So verstehe jedenfalls ich das Problem…
 

kelevra

Stahls Winterprinz
Registriert
12.07.10
Beiträge
5.165
Genau so ist es. Die Malware zeigt ein fake Authentifizierungsfenster an, als ob Handbrake nach dem admin Passwort fragen würde. Damit erlangt es vollkommenen Zugriff auf den Schlüsselbund.
 

_macminimal

Melrose
Registriert
11.11.14
Beiträge
2.489
Die kompromittierte Software erfragt mittels fingierter Auth. das Admin-Passwort. Damit kann sie theoretisch alles machen. Der normale Weg einer Software, mit dem SchlüBu zu hantieren, wäre über die entsprechenden Systemdienste.
Du selbst kannst ja mit dem Admin-Passwort auch alle Schlüssel lesen. So verstehe jedenfalls ich das Problem…

Nun ich bin davon ausgegangen, das es um zwei Arten des Zugriffs gehen würde:

A) eine Software fragt nach dem AdminPW um sich zu installieren. Bei einem Installationsvorgang bestünde kein Grund alle Einträge im SB für DIESE Software sichtbar zu machen.

B) der User öffnet das SB, wählt Einträge händisch aus um deren Werte einsehen zu können. Auch hierbei ist zunächst nur der jeweils angeforderte Eintrag sichtbar zu machen.

Das eine Software automatischen Vollzugriff erhält erklärt sich mir nicht. Diese News erschüttert ehrlich gesagt mein Vertrauen in diese eigentlich clevere Technologie. Ich hätte gedacht das da mehr Hirnschmalz eingeflossen ist.
 

kelevra

Stahls Winterprinz
Registriert
12.07.10
Beiträge
5.165
Deine Ausführungen in A) und B) stimmen soweit auch. Nur holt sich in diesem Fall die App nicht einfach nur Rechte sich nach /Applications installieren zu dürfen, sondern sie holt sich root Rechte. Damit kann sie dann natürlich alles im System machen.

Handbrake in "sauberer" Version fragt nicht nach dem Admin Passwort, zumindest war das jetzt bei einem Test nicht so. Lediglich Gatekeeper verhindert den ersten Start der App via Doppelklick. Mann muss also per Rechtsklick → Öffnen diesen initiieren. Das ist ja üblich bei Software ohne Apple Developer Zertifikat.
 

_macminimal

Melrose
Registriert
11.11.14
Beiträge
2.489
Es handelt sich jedoch weiterhin um einen Vorgang der von einer Software initiiert wird. Aus welchem Grund ist das SB so angelegt das eine (Fremd-) Software alle PWs, also auch die anderer Software einsehen kann? Sollte dies "nötig" sein, so würde ich die explizite Frage nach und Freigabe dieses Vorgangs erwarten.
 

Papa_Baer

Jakob Lebel
Registriert
06.01.15
Beiträge
4.843
Handbrake in "sauberer" Version fragt nicht nach dem Admin Passwort, zumindest war das jetzt bei einem Test nicht so. Lediglich Gatekeeper verhindert den ersten Start der App via Doppelklick.

Ich musste definitiv das Adminpasswort eingeben. Hatte zuletzt im April aktualisiert. Und nun?
 

kelevra

Stahls Winterprinz
Registriert
12.07.10
Beiträge
5.165
Das dürfte daran liegen, dass du als Standarduser unterwegs bist und ich die Installation als Admin ausgeführt habe.