Handbrake Download mit Trojaner verseucht

Adelar3x

Thurgauer Weinapfel
Mitglied seit
11.09.13
Beiträge
1.001
Man muss, wie inzwischen bereits einige gepostet haben, bei jeder Softwareinstallation das Adminpasswort eingeben. So lange diese Abfrage aber nicht von der jeweiligen Software, sondern vom OS veranlasst wird, besteht hier keine Gefahr. Gefährlich wird es nur, wenn zb eine Antivirensoftware eine Passwortabfrage von MacOS simuliert und damit versucht Passwörter abzugreifen.
 
  • Like
Wertungen: Papa_Baer

Kernelpanik

Herrenhut
Mitglied seit
05.03.04
Beiträge
2.277
LOL, ich halte das ganze für ein Gerücht. Ich habe am 3.Mai das Handbreak Update runtergeladen und nichts von den beschriebenen Dingen entdeckt. Also, weiter geht's mit Handbreak.
 

u0679

Prinz Albrecht von Preußen
Mitglied seit
09.11.12
Beiträge
5.893
Na ja, Gerücht wohl kaum, wenn der Hersteller selber die Warnung raus gibt.
 
  • Like
Wertungen: Archetyp

Macbeatnik

Golden Noble
Mitglied seit
05.01.04
Beiträge
32.165
@Kernelpanik
Wenn du dir die Warnung von handbrake auf deren Webseite durchließt, dann wirst du sehen, das nur bestimmte Server von diesem Problem betroffen waren und das es durchaus Nutzer geben kann, die nicht betroffen sind.
 

Lemming

Salvatico di Campascio
Mitglied seit
22.02.04
Beiträge
434
Betrifft das eigentlich nur ein .dmg oder auch eine Aktualisierung aus dem Programm heraus?
 

i_On

Stechapfel
Mitglied seit
30.01.13
Beiträge
157
Habe auch noch die Version 1.0.3 drauf, aber trotzdem mal nach der Anleitung oben durchsucht.
Glücklicherweise nichts gefunden. Danke Apfeltalk, für den Artikel und die Tipps! a:t
 

_macminimal

Königsapfel
Mitglied seit
11.11.14
Beiträge
1.218
Nicht das ich Handbrake installiert hätte, aber das ein "einfacher" Trojaner direkt "problemlos" an das gesamte Schlüsselbund rankommt, ist ja nicht gerade beruhigend. Habe ich das richtig verstanden? Nutz der Trojaner das Admin-PW das bei der Installation abgefragt wird oder wie? Gibt es ab dem Punkt keinerlei Sicherheitsmechanismen? Ist jede OS-Version gleich betroffen?
 

echo.park

deaktivierter Benutzer
Mitglied seit
08.06.11
Beiträge
11.076
Gute Frage. Aber ich denke mit dem Benutzerkennwort, in dem Fall dem des Admin, ist der Schlüsselbund quasi "geöffnet" und kann ausgelesen werden.
 

kelevra

Vollbrechts Borsdorfer
Mitglied seit
12.07.10
Beiträge
4.526
Auf einem unserer mac Mini Server war tatsächlich "Activity_agent" Task vorhanden. :(
Handbrake wurde ausgerechnet am 02.05. installiert.

Von Handbrake wechseln muss man jetzt sicherlich nicht. Wer unbedingt eine Alternative sucht, dem kann ich auch noch iFFMPEG ans Herz legen. Das ist quasi ein grafisches Frontend für die freie ffmpeg Bibliothek. Letztere muss man separat installieren. ffmpeg kann man auch ohne GUI über das Terminal verwenden.
 

_macminimal

Königsapfel
Mitglied seit
11.11.14
Beiträge
1.218
Gute Frage. Aber ich denke mit dem Benutzerkennwort, in dem Fall dem des Admin, ist der Schlüsselbund quasi "geöffnet" und kann ausgelesen werden.
Naja, das wiederum würde ja bedeuten, da jede Software die mittels AdminPW installiert wird Zugriff auf "alles im Schlüsselbund" hat. Ich bin ehrlich gesagt davon ausgegangen, das sich eine Software dort eintragen kann, aber quasi nur sich selbst und die eigenen Einträge dort kennt.

Das eine nicht systemseitige Software Vollzugriff auf alle PWs im Schlüsselbund hat?!
 

jack_pott

Schöner von Nordhausen
Mitglied seit
15.12.07
Beiträge
319
Naja, das wiederum würde ja bedeuten, da jede Software die mittels AdminPW installiert wird Zugriff auf "alles im Schlüsselbund" hat. Ich bin ehrlich gesagt davon ausgegangen, das sich eine Software dort eintragen kann, aber quasi nur sich selbst und die eigenen Einträge dort kennt.

Das eine nicht systemseitige Software Vollzugriff auf alle PWs im Schlüsselbund hat?!
Die kompromittierte Software erfragt mittels fingierter Auth. das Admin-Passwort. Damit kann sie theoretisch alles machen. Der normale Weg einer Software, mit dem SchlüBu zu hantieren, wäre über die entsprechenden Systemdienste.
Du selbst kannst ja mit dem Admin-Passwort auch alle Schlüssel lesen. So verstehe jedenfalls ich das Problem…
 

kelevra

Vollbrechts Borsdorfer
Mitglied seit
12.07.10
Beiträge
4.526
Genau so ist es. Die Malware zeigt ein fake Authentifizierungsfenster an, als ob Handbrake nach dem admin Passwort fragen würde. Damit erlangt es vollkommenen Zugriff auf den Schlüsselbund.
 

_macminimal

Königsapfel
Mitglied seit
11.11.14
Beiträge
1.218
Die kompromittierte Software erfragt mittels fingierter Auth. das Admin-Passwort. Damit kann sie theoretisch alles machen. Der normale Weg einer Software, mit dem SchlüBu zu hantieren, wäre über die entsprechenden Systemdienste.
Du selbst kannst ja mit dem Admin-Passwort auch alle Schlüssel lesen. So verstehe jedenfalls ich das Problem…
Nun ich bin davon ausgegangen, das es um zwei Arten des Zugriffs gehen würde:

A) eine Software fragt nach dem AdminPW um sich zu installieren. Bei einem Installationsvorgang bestünde kein Grund alle Einträge im SB für DIESE Software sichtbar zu machen.

B) der User öffnet das SB, wählt Einträge händisch aus um deren Werte einsehen zu können. Auch hierbei ist zunächst nur der jeweils angeforderte Eintrag sichtbar zu machen.

Das eine Software automatischen Vollzugriff erhält erklärt sich mir nicht. Diese News erschüttert ehrlich gesagt mein Vertrauen in diese eigentlich clevere Technologie. Ich hätte gedacht das da mehr Hirnschmalz eingeflossen ist.
 

kelevra

Vollbrechts Borsdorfer
Mitglied seit
12.07.10
Beiträge
4.526
Deine Ausführungen in A) und B) stimmen soweit auch. Nur holt sich in diesem Fall die App nicht einfach nur Rechte sich nach /Applications installieren zu dürfen, sondern sie holt sich root Rechte. Damit kann sie dann natürlich alles im System machen.

Handbrake in "sauberer" Version fragt nicht nach dem Admin Passwort, zumindest war das jetzt bei einem Test nicht so. Lediglich Gatekeeper verhindert den ersten Start der App via Doppelklick. Mann muss also per Rechtsklick → Öffnen diesen initiieren. Das ist ja üblich bei Software ohne Apple Developer Zertifikat.
 

_macminimal

Königsapfel
Mitglied seit
11.11.14
Beiträge
1.218
Es handelt sich jedoch weiterhin um einen Vorgang der von einer Software initiiert wird. Aus welchem Grund ist das SB so angelegt das eine (Fremd-) Software alle PWs, also auch die anderer Software einsehen kann? Sollte dies "nötig" sein, so würde ich die explizite Frage nach und Freigabe dieses Vorgangs erwarten.
 

Papa_Baer

Halberstädter Jungfernapfel
Mitglied seit
06.01.15
Beiträge
3.809
Handbrake in "sauberer" Version fragt nicht nach dem Admin Passwort, zumindest war das jetzt bei einem Test nicht so. Lediglich Gatekeeper verhindert den ersten Start der App via Doppelklick.
Ich musste definitiv das Adminpasswort eingeben. Hatte zuletzt im April aktualisiert. Und nun?
 

kelevra

Vollbrechts Borsdorfer
Mitglied seit
12.07.10
Beiträge
4.526
Das dürfte daran liegen, dass du als Standarduser unterwegs bist und ich die Installation als Admin ausgeführt habe.