1. Mach mit bei unserem Weihnachtsbanner-Wettbewerb 2019 --> klick!
    Information ausblenden
  2. Am Mittwoch, dem 27.11.19 ab ca. 10:00 Uhr werden wir eine größere Server-Wartung vornehmen. Das Forum und das Magazin werden bis Freitag, dem 29.11.19 Mittags (wenn alles gut geht) nicht erreichbar sein.
    Information ausblenden

Handbrake Download mit Trojaner verseucht

Dieses Thema im Forum "Magazin" wurde erstellt von Jan Gruber, 07.05.17.

  1. Adelar3x

    Adelar3x Thurgauer Weinapfel

    Dabei seit:
    11.09.13
    Beiträge:
    1.001
    Man muss, wie inzwischen bereits einige gepostet haben, bei jeder Softwareinstallation das Adminpasswort eingeben. So lange diese Abfrage aber nicht von der jeweiligen Software, sondern vom OS veranlasst wird, besteht hier keine Gefahr. Gefährlich wird es nur, wenn zb eine Antivirensoftware eine Passwortabfrage von MacOS simuliert und damit versucht Passwörter abzugreifen.
     
    Papa_Baer gefällt das.
  2. Kernelpanik

    Kernelpanik Herrenhut

    Dabei seit:
    05.03.04
    Beiträge:
    2.276
    LOL, ich halte das ganze für ein Gerücht. Ich habe am 3.Mai das Handbreak Update runtergeladen und nichts von den beschriebenen Dingen entdeckt. Also, weiter geht's mit Handbreak.
     
  3. u0679

    u0679 Moderator
    AT Moderation

    Dabei seit:
    09.11.12
    Beiträge:
    5.796
    Na ja, Gerücht wohl kaum, wenn der Hersteller selber die Warnung raus gibt.
     
    Archetyp gefällt das.
  4. echo.park

    echo.park deaktivierter Benutzer

    Dabei seit:
    08.06.11
    Beiträge:
    11.076
    Soll das ein Witz sein?
     
  5. Kernelpanik

    Kernelpanik Herrenhut

    Dabei seit:
    05.03.04
    Beiträge:
    2.276
    Die wissen manchmal selber nicht wo die Apfel baumeln. :p
     
  6. Macbeatnik

    Macbeatnik Golden Noble

    Dabei seit:
    05.01.04
    Beiträge:
    31.274
    @Kernelpanik
    Wenn du dir die Warnung von handbrake auf deren Webseite durchließt, dann wirst du sehen, das nur bestimmte Server von diesem Problem betroffen waren und das es durchaus Nutzer geben kann, die nicht betroffen sind.
     
  7. Lemming

    Lemming Salvatico di Campascio

    Dabei seit:
    22.02.04
    Beiträge:
    432
    Betrifft das eigentlich nur ein .dmg oder auch eine Aktualisierung aus dem Programm heraus?
     
  8. i_On

    i_On Stechapfel

    Dabei seit:
    30.01.13
    Beiträge:
    156
    Habe auch noch die Version 1.0.3 drauf, aber trotzdem mal nach der Anleitung oben durchsucht.
    Glücklicherweise nichts gefunden. Danke Apfeltalk, für den Artikel und die Tipps! a:t
     
  9. _macminimal

    _macminimal Englischer Kantapfel

    Dabei seit:
    11.11.14
    Beiträge:
    1.090
    Nicht das ich Handbrake installiert hätte, aber das ein "einfacher" Trojaner direkt "problemlos" an das gesamte Schlüsselbund rankommt, ist ja nicht gerade beruhigend. Habe ich das richtig verstanden? Nutz der Trojaner das Admin-PW das bei der Installation abgefragt wird oder wie? Gibt es ab dem Punkt keinerlei Sicherheitsmechanismen? Ist jede OS-Version gleich betroffen?
     
  10. echo.park

    echo.park deaktivierter Benutzer

    Dabei seit:
    08.06.11
    Beiträge:
    11.076
    Gute Frage. Aber ich denke mit dem Benutzerkennwort, in dem Fall dem des Admin, ist der Schlüsselbund quasi "geöffnet" und kann ausgelesen werden.
     
  11. jack_pott

    jack_pott Transparent von Croncels

    Dabei seit:
    15.12.07
    Beiträge:
    310
    Adapter (Prop.): https://macroplant.com/adapter
    Miro Video Converter (Open Source): http://mirovideoconverter.com
     
  12. kelevra

    kelevra Vollbrechts Borsdorfer

    Dabei seit:
    12.07.10
    Beiträge:
    4.474
    Auf einem unserer mac Mini Server war tatsächlich "Activity_agent" Task vorhanden. :(
    Handbrake wurde ausgerechnet am 02.05. installiert.

    Von Handbrake wechseln muss man jetzt sicherlich nicht. Wer unbedingt eine Alternative sucht, dem kann ich auch noch iFFMPEG ans Herz legen. Das ist quasi ein grafisches Frontend für die freie ffmpeg Bibliothek. Letztere muss man separat installieren. ffmpeg kann man auch ohne GUI über das Terminal verwenden.
     
  13. _macminimal

    _macminimal Englischer Kantapfel

    Dabei seit:
    11.11.14
    Beiträge:
    1.090
    Naja, das wiederum würde ja bedeuten, da jede Software die mittels AdminPW installiert wird Zugriff auf "alles im Schlüsselbund" hat. Ich bin ehrlich gesagt davon ausgegangen, das sich eine Software dort eintragen kann, aber quasi nur sich selbst und die eigenen Einträge dort kennt.

    Das eine nicht systemseitige Software Vollzugriff auf alle PWs im Schlüsselbund hat?!
     
  14. jack_pott

    jack_pott Transparent von Croncels

    Dabei seit:
    15.12.07
    Beiträge:
    310
    Die kompromittierte Software erfragt mittels fingierter Auth. das Admin-Passwort. Damit kann sie theoretisch alles machen. Der normale Weg einer Software, mit dem SchlüBu zu hantieren, wäre über die entsprechenden Systemdienste.
    Du selbst kannst ja mit dem Admin-Passwort auch alle Schlüssel lesen. So verstehe jedenfalls ich das Problem…
     
  15. kelevra

    kelevra Vollbrechts Borsdorfer

    Dabei seit:
    12.07.10
    Beiträge:
    4.474
    Genau so ist es. Die Malware zeigt ein fake Authentifizierungsfenster an, als ob Handbrake nach dem admin Passwort fragen würde. Damit erlangt es vollkommenen Zugriff auf den Schlüsselbund.
     
  16. _macminimal

    _macminimal Englischer Kantapfel

    Dabei seit:
    11.11.14
    Beiträge:
    1.090
    Nun ich bin davon ausgegangen, das es um zwei Arten des Zugriffs gehen würde:

    A) eine Software fragt nach dem AdminPW um sich zu installieren. Bei einem Installationsvorgang bestünde kein Grund alle Einträge im SB für DIESE Software sichtbar zu machen.

    B) der User öffnet das SB, wählt Einträge händisch aus um deren Werte einsehen zu können. Auch hierbei ist zunächst nur der jeweils angeforderte Eintrag sichtbar zu machen.

    Das eine Software automatischen Vollzugriff erhält erklärt sich mir nicht. Diese News erschüttert ehrlich gesagt mein Vertrauen in diese eigentlich clevere Technologie. Ich hätte gedacht das da mehr Hirnschmalz eingeflossen ist.
     
  17. kelevra

    kelevra Vollbrechts Borsdorfer

    Dabei seit:
    12.07.10
    Beiträge:
    4.474
    Deine Ausführungen in A) und B) stimmen soweit auch. Nur holt sich in diesem Fall die App nicht einfach nur Rechte sich nach /Applications installieren zu dürfen, sondern sie holt sich root Rechte. Damit kann sie dann natürlich alles im System machen.

    Handbrake in "sauberer" Version fragt nicht nach dem Admin Passwort, zumindest war das jetzt bei einem Test nicht so. Lediglich Gatekeeper verhindert den ersten Start der App via Doppelklick. Mann muss also per Rechtsklick → Öffnen diesen initiieren. Das ist ja üblich bei Software ohne Apple Developer Zertifikat.
     
  18. _macminimal

    _macminimal Englischer Kantapfel

    Dabei seit:
    11.11.14
    Beiträge:
    1.090
    Es handelt sich jedoch weiterhin um einen Vorgang der von einer Software initiiert wird. Aus welchem Grund ist das SB so angelegt das eine (Fremd-) Software alle PWs, also auch die anderer Software einsehen kann? Sollte dies "nötig" sein, so würde ich die explizite Frage nach und Freigabe dieses Vorgangs erwarten.
     
  19. Papa_Baer

    Papa_Baer Schmalzprinz

    Dabei seit:
    06.01.15
    Beiträge:
    3.601
    Ich musste definitiv das Adminpasswort eingeben. Hatte zuletzt im April aktualisiert. Und nun?
     
  20. kelevra

    kelevra Vollbrechts Borsdorfer

    Dabei seit:
    12.07.10
    Beiträge:
    4.474
    Das dürfte daran liegen, dass du als Standarduser unterwegs bist und ich die Installation als Admin ausgeführt habe.