1. Mach mit bei unserem Weihnachtsbanner-Wettbewerb 2019 --> klick!
    Information ausblenden
  2. Am Mittwoch, dem 27.11.19 ab ca. 10:00 Uhr werden wir eine größere Server-Wartung vornehmen. Das Forum und das Magazin werden bis Freitag, dem 29.11.19 Mittags (wenn alles gut geht) nicht erreichbar sein.
    Information ausblenden

Handbrake Download mit Trojaner verseucht

Dieses Thema im Forum "Magazin" wurde erstellt von Jan Gruber, 07.05.17.

  1. Joh1

    Joh1 Virginischer Rosenapfel

    Dabei seit:
    01.04.14
    Beiträge:
    11.387
    Ja und das ist doch eine Schwachstelle oder nicht?
    Warum sollte ein Programm diese Passwörter einsehen müssen?
     
  2. kelevra

    kelevra Vollbrechts Borsdorfer

    Dabei seit:
    12.07.10
    Beiträge:
    4.474
    Wie ich schon versucht habe zu erklären:

    Ein Programm kannsich zur Laufzeit nur erhöhte Privilegien im Allgemeinen holen, sprich Ausführung als root. Hat es erstmal diese Privilegien, kann es alles tun, was auch der root User kann. Dazu gehört enen auch der volle Zugriff auf den Schlüsselbund.

    Klar ist das ein Risiko, deswegen sollte man genau überlegen welchem Programm man diese Rechte gibt umd im Zweifel besser abbrechen.

    Ich könnte mir als Lösung höchstens ein System, wie unter iOS vorstellen, dass bestimmte Zugriffe vom Benutzer separat abgenickt werden müssen, root hin oder her. iOS fragt ja bekanntlich bei Zugriffen auf Adressbuch, Kalender, Kamera, Mikrofon usw. Eine solche Ebene könnte man zusätzlich vorsehen, auch im Falle von root Privilegien, sodass der Nutzer herade bei solchen Eingriffen sieht, wenn eine Software auf solche Ressource zugreift.

    Μicro Snitch macht sowas zum Beispiel in Bezug auf Mikrofon und Kamera.
    Auf objective-see.com gibt es ein Tool namens BlockBlock, dass die Bereiche im OS überwacht, in die sog. Launch Daemons installiert werden, also die kleinen Helferlein, die ein Programm bei Systemstart mitstarten. Die Installation des Handbrake Trojaners wurde von dem Tool erkannt, da auchnder sich einen Launch Daemon installiert.

    Solche System könnte Apple ins OS integrieren, mit einfachen Abfragen: Software xy möchte bei Systemstart automatisch mitstarten: ja oder nein.
     
  3. Macbeatnik

    Macbeatnik Golden Noble

    Dabei seit:
    05.01.04
    Beiträge:
    31.291
    Natürlich, aber die weitaus größere Schwachstelle ist der Nutzer, der bereitwillig das passwort herausgibt und damit dem Datenklau Tür und Tor öffnet, man gibt ja in der Regel auch nicht jedem fremden seinen Haustürschlüssel und wundert sich dann, das die Bude ausgeräumt ist und gibt dann die Schuld dem schlosshersteller.
    Das man sich bessere Schutzmechanismen wünschen kann ist klar und vermutlich gibt es die auch, nur hier gilt dann, das da dann das Gemecker über die gängelung von Apple wieder durchkommen würde, da man dann entweder nur eingeschränkt arbeiten konnte oder sehr oft Passwörter eingeben müsste.
     
    jack_pott und kelevra gefällt das.
  4. kelevra

    kelevra Vollbrechts Borsdorfer

    Dabei seit:
    12.07.10
    Beiträge:
    4.474
    Man versucht ja immer einen gewissen Kompromiss aus Sicherheit und Komfort zu finden. Natürlich kann man ein OS noch viel stärker schützen. Irgendwann ist der Nutzer dann aber nur noch mit Authentifizierungsabfragen beschäftigt. Das ist ja irgendwo auch kein sinnvoller Ansatz.

    Und wenn wir ehrlich sind, geben die meisten Nutzer die Sicherheit für den Komfort sehr schnell auf.
     
    wolf1210 und Macbeatnik gefällt das.
  5. Joh1

    Joh1 Virginischer Rosenapfel

    Dabei seit:
    01.04.14
    Beiträge:
    11.387
    Das hat hier ja inzwischen jeder verstanden ich frage mich nur warum Programme wie Handbrake das überhaupt machen dürfen.
    Es ist für den Nutzer als sowas ja nicht einmal ersichtlich wenn man sich damit nicht so gut auskennt.

    Warum muss es diese Vergabe der Rootrechte so überhaupt geben und warum kann ein Programm nicht gezielt etwas erlaubt bekommen.

    Die Frage ist ja warum braucht ein Programm überhaupt den Zugriff auf den Schlüsselbund? Gibt es ein Programm bei dem es Sinnvoll ist?

    Das heißt wenn ich ein Programm habe das mit es erlaubt die Lüfter manuell zu steuern benötigt ja sicherlich Rootrechte, also hat es auch Zugriff auf meine gesamten Passwörter... Das ist doch nicht zu ende gedacht.
     
  6. echo.park

    echo.park deaktivierter Benutzer

    Dabei seit:
    08.06.11
    Beiträge:
    11.076
    Handbrake darf nicht auf den Schlüsselbund zugreifen.

    Der enthaltene Trojaner fragt aber danach. Der User aktzeptiert und gewährt den Zugriff, unbewusst.

    Ist doch alles ganz logisch.

    Welche Apps Zugriff darauf benötigen?
    Na, dazu gehören Mail und Safari zum Beispiel.
     
  7. Joh1

    Joh1 Virginischer Rosenapfel

    Dabei seit:
    01.04.14
    Beiträge:
    11.387
    Da hast du jetzt aber auch gleich zwei Apps von Apple genannt die vorinstalliert sind.
     
  8. _macminimal

    _macminimal Englischer Kantapfel

    Dabei seit:
    11.11.14
    Beiträge:
    1.090
    Genau darum geht es doch! Wozu benötigt Mail oder Safari den Zugriff auf FTP-PWs aus Adobe DW zB. Natürlich benötigt Safari Zugriff auf die IN SAFARI zu nutzenden Web-PWs. Wozu also ein Installer bzw. eine Software dahinter Zugriff auf ALLE nicht zu ihr gehörende PWs gewährt wird ist mir überhaupt nicht klar. Insofern frage ich mich wieso hier keine "Grenze" existiert. Auf explizite Nachfrage - bitteschön.
     
  9. kelevra

    kelevra Vollbrechts Borsdorfer

    Dabei seit:
    12.07.10
    Beiträge:
    4.474
    Es gibt auch Drittanbieter die Passwörter im Schlüsselbund ablegen, zum Beispiel PGP/GPG. Die dürfen dann aber nur auf ihre eigenen Einträge zugreifen. Das wird über die entsprechende API geregelt.

    Die Übergabe von root Privilegien ist grundsätzlich ein Sicherheitsrisiko, ja. Das habe ich glaube ich, aber auch schon deutlich dargestellt. Am Ende bleibt eben noch der Nutzer, der entscheiden muss, was er tut. Es soll ja auch Leute geben, die ihre Passwörter in Online Passwortmanagern ablegen oder auf PostIt's an den Monitor kleben. Auch im Jahre 2017 ist 12345 noch eines der Top 10 Passwörter. Das sagt doch alles über die Nutzer aus.
     
  10. jack_pott

    jack_pott Transparent von Croncels

    Dabei seit:
    15.12.07
    Beiträge:
    310
    Manche Programme brauchen Root-Rechte während der Installation, weil sie in Systembereiche schreibe müssen.
    Man sollte sich eben immer vorher überlegen: braucht das Programm diese Rechte? Warum will es diese Rechte? Ich gebe auf der Teilnahmeliste im Seminar auch nicht meine Kontodaten an.

    Wer ohne Nachzudenken immer und überall seine Passwörter preisgibt, sollte vielleicht nicht an einem Computer mit Internetzugang sitzen. Oder zumindest keine Software installieren.

    Natürlich, solche Dinge wie im Falle Handbrake können passieren! Dann behebt man das Problem – und gut is'! Gleich einen riesigen Sicherheitsskandal zu wittern halte ich doch für albern. Ich fordere auch keine stumpfen Messer, weil ich mir mal in die Hand geschnitten habe. Das Kind mit dem Bade ausschütten und so.

    Und wer jetzt doch Panik schiebt und höhere Sicherheitsvorkehrungen wünscht, kann sich ja einfach nur noch Apps aus dem AppStore installieren; einen zweiten User für die Nutzung im Alltag anlegen und diesem sämtliche relevanten Rechte entziehen. „Nimm mir meine Rechte, ich kann mit der Freiheit nicht umgehen.“ – wer sich selbst beschränken möchte, kann das ja tun. Die Möglichkeiten gibt es. Aber systemseitig will ich jedenfalls nicht von vornherein eingeschränkt werden.
     
    wolf1210 und Nasi gefällt das.
  11. _macminimal

    _macminimal Englischer Kantapfel

    Dabei seit:
    11.11.14
    Beiträge:
    1.090
    Das ein Programm Root-Rechte benötigt und/oder auf selbst erstellte Einträge im SB zugreifen können muss ist doch iO. Der Zugriff auf sämtliche PWs im SB macht dennoch keinen Sinn und ist ganz offenbar ein Risiko.

    Andererseits bin ich kein Programmierer im systemnahen Bereich, kann also sein das es für diese Systematik dennoch Gründe gibt.
     
  12. kelevra

    kelevra Vollbrechts Borsdorfer

    Dabei seit:
    12.07.10
    Beiträge:
    4.474
    Wie gesagt, können Programme im Normalfall nur auf die eigenen Einträge in der Keychain zugreifen. Root darf alles. Das ist nun mal so und das ist auch gut so. Denn sonst hätte man keine wirkliche Kontrolle über das eigene System. Das mag in iOS für die Masse funktionieren. Ein so eingeschränktes System auf dem Mac sehe ich nicht als zukunftsträchtig ein.

    Ein bisschen selber denken gehört eben auch beim Benutzen von Computern dazu.
     
  13. Adelar3x

    Adelar3x Thurgauer Weinapfel

    Dabei seit:
    11.09.13
    Beiträge:
    1.001
    Steht denn bei der Abfrage was von Root-Rechten? Normalerweise ist doch immer die Rede davon, dass das Programm Änderungen am System vornehmen möchte. Was ist denn eine Installation anderes als eine Änderung am System? Wie gesagt: Normalerweise geht man doch davon aus, dass man nur dem OS gegenüber die Änderung autorisiert, nicht die Weitergabe des PW.
     
  14. Adelar3x

    Adelar3x Thurgauer Weinapfel

    Dabei seit:
    11.09.13
    Beiträge:
    1.001
    Das Ganze betraf auch nur einen französischen Server und auch nur den direkten Download. Zumindest bei Version 1.0 oder später, da dort beim Updater die Datei mithilfe einer DSA-Signatur überprüft wird. Ist übrigens alles auch auf der Seite von macrumors zu finden.
     
  15. kelevra

    kelevra Vollbrechts Borsdorfer

    Dabei seit:
    12.07.10
    Beiträge:
    4.474
    Diese Annahme ist falsch.

    Fragt ein Programme nach dem Admin Passwort, zum Beispiel für eine Installation, bestätigt die Eingabe des Passworts nicht nur diese Aktion. Vielmehr werden dem Programm root Rechte eingeräumt. Was es mit denen macht, kann man herausfinden (log Dateien etc.) bleibt aber Ende eine Vertrauenssache.

    Deswegen gilt der Grundsatz: Wird nach dem Admin Passwort gefragt, sollte man sich überlegen, wofür die Software die erhöhten Privilegien benötigt und ob das gerechtfertigt ist. Im Zweifel würde ich den Vorgang abbrechen und mich erstmal informieren.
     
  16. paul.mbp

    paul.mbp Wiltshire

    Dabei seit:
    20.06.09
    Beiträge:
    4.313
    Und an welcher Stelle im Internet hätte sich der interessierte Nutzer von Handbrake im betroffenen Zeitraum zuverlässig informieren können?

    Er hätte hunderte gute Reviews zu dem Programm gefunden und vermutet das die Abfrage des Passworts zur Installation der Software schon in Ordnung geht. Schliesslich nutzen ja schon ganz viele erfolgreich & problemlos diese Software.
     
    ullistein und Zwuckel gefällt das.
  17. Joh1

    Joh1 Virginischer Rosenapfel

    Dabei seit:
    01.04.14
    Beiträge:
    11.387
    Ich wusste das zumindest bis jetzt nicht das es so ist.

    Die Annahme ist in dem Sinne auch nicht falsch da man in dem Infofenster wo man sein Passwort eingeben muss, nichts von Root-Rechten liest.
     
    #117 Joh1, 12.05.17
    Zuletzt bearbeitet: 12.05.17
  18. Mac K.

    Mac K. Himbeerapfel von Holowaus

    Dabei seit:
    18.11.14
    Beiträge:
    1.270
    Es kommt doch auch auf die gewählten Sicherheitseinstellungen des Systems an. Da gibt es einen Punkt wo man auswählen kann ob das Passwort abgefragt wird, wenn Änderungen durch Programme am System vorgenommen werden.
     
  19. echo.park

    echo.park deaktivierter Benutzer

    Dabei seit:
    08.06.11
    Beiträge:
    11.076
    Also solange es keine Drive-By Infektionen auf dem Mac gibt, bin ich absolut zufrieden.

    :p

    Selbst runterladen, selbst ausführen und selbst per Passwort bestätigen. Das ist doch Kindergarten.
     
  20. kelevra

    kelevra Vollbrechts Borsdorfer

    Dabei seit:
    12.07.10
    Beiträge:
    4.474
    Da gebe ich dir grundsätzlich Recht. Das ist das Fatale an der Vorgehensweise, wie sie hier stattgefunden hat. Das ist auch nicht das erste Mal, dass man versucht einen Trojaner zu verteilen, indem man eine beliebte kostenlose Software auf dem Downloadserver austauscht. Der BitTorrent Client Transmission wurde schon mehrfach auf dieses Weise manipuliert. (Quelle)

    In solchen Fällen wie diesen würde helfen die Prüfsumme des Downloads zu prüfen.

    Das ist richtig, dass das so nicht konkret dasteht, ist aber am Ende genau das was passiert.

    Ich wollte auch niemanden persönlich angreifen, daher bitte nicht falsch verstehen.
    Viel mehr versuche ich aufzuklären und ein Bewusstsein für die Thematik zu schaffen und zu informieren.

    Was du meinst ist das Häckchen unter Einstellungen → Sicherheit → Erweitert. Das hat nichts mit Root-Privilegien zu tun. Möchte sich ein Programm root Rechte einholen, verlangt das System immer nach dem Administrator Passwort.

    Das entspricht dem gleichen Schema, wie wenn man im Terminal etwas mit dem berühmten "sudo" ausführen möchte.