Handbrake Download mit Trojaner verseucht

Joh1

Golden Noble
Registriert
01.04.14
Beiträge
14.384
Weil in dem Moment, indem der Nutzer sein Passwort eingibt, damit auch das Schlüsselbund dieses Nutzers einzusehen ist, bzw. diese Datenbank geöffnet werden kann.
Ja und das ist doch eine Schwachstelle oder nicht?
Warum sollte ein Programm diese Passwörter einsehen müssen?
 

kelevra

Stahls Winterprinz
Registriert
12.07.10
Beiträge
5.165
Wie ich schon versucht habe zu erklären:

Ein Programm kannsich zur Laufzeit nur erhöhte Privilegien im Allgemeinen holen, sprich Ausführung als root. Hat es erstmal diese Privilegien, kann es alles tun, was auch der root User kann. Dazu gehört enen auch der volle Zugriff auf den Schlüsselbund.

Klar ist das ein Risiko, deswegen sollte man genau überlegen welchem Programm man diese Rechte gibt umd im Zweifel besser abbrechen.

Ich könnte mir als Lösung höchstens ein System, wie unter iOS vorstellen, dass bestimmte Zugriffe vom Benutzer separat abgenickt werden müssen, root hin oder her. iOS fragt ja bekanntlich bei Zugriffen auf Adressbuch, Kalender, Kamera, Mikrofon usw. Eine solche Ebene könnte man zusätzlich vorsehen, auch im Falle von root Privilegien, sodass der Nutzer herade bei solchen Eingriffen sieht, wenn eine Software auf solche Ressource zugreift.

Μicro Snitch macht sowas zum Beispiel in Bezug auf Mikrofon und Kamera.
Auf objective-see.com gibt es ein Tool namens BlockBlock, dass die Bereiche im OS überwacht, in die sog. Launch Daemons installiert werden, also die kleinen Helferlein, die ein Programm bei Systemstart mitstarten. Die Installation des Handbrake Trojaners wurde von dem Tool erkannt, da auchnder sich einen Launch Daemon installiert.

Solche System könnte Apple ins OS integrieren, mit einfachen Abfragen: Software xy möchte bei Systemstart automatisch mitstarten: ja oder nein.
 

Macbeatnik

Golden Noble
Registriert
05.01.04
Beiträge
34.205
Ja und das ist doch eine Schwachstelle oder nicht?
Warum sollte ein Programm diese Passwörter einsehen müssen?

Natürlich, aber die weitaus größere Schwachstelle ist der Nutzer, der bereitwillig das passwort herausgibt und damit dem Datenklau Tür und Tor öffnet, man gibt ja in der Regel auch nicht jedem fremden seinen Haustürschlüssel und wundert sich dann, das die Bude ausgeräumt ist und gibt dann die Schuld dem schlosshersteller.
Das man sich bessere Schutzmechanismen wünschen kann ist klar und vermutlich gibt es die auch, nur hier gilt dann, das da dann das Gemecker über die gängelung von Apple wieder durchkommen würde, da man dann entweder nur eingeschränkt arbeiten konnte oder sehr oft Passwörter eingeben müsste.
 
  • Like
Reaktionen: jack_pott und kelevra

kelevra

Stahls Winterprinz
Registriert
12.07.10
Beiträge
5.165
Man versucht ja immer einen gewissen Kompromiss aus Sicherheit und Komfort zu finden. Natürlich kann man ein OS noch viel stärker schützen. Irgendwann ist der Nutzer dann aber nur noch mit Authentifizierungsabfragen beschäftigt. Das ist ja irgendwo auch kein sinnvoller Ansatz.

Und wenn wir ehrlich sind, geben die meisten Nutzer die Sicherheit für den Komfort sehr schnell auf.
 

Joh1

Golden Noble
Registriert
01.04.14
Beiträge
14.384
Ein Programm kannsich zur Laufzeit nur erhöhte Privilegien im Allgemeinen holen, sprich Ausführung als root. Hat es erstmal diese Privilegien, kann es alles tun, was auch der root User kann. Dazu gehört enen auch der volle Zugriff auf den Schlüsselbund.

Klar ist das ein Risiko, deswegen sollte man genau überlegen welchem Programm man diese Rechte gibt umd im Zweifel besser abbrechen.
Das hat hier ja inzwischen jeder verstanden ich frage mich nur warum Programme wie Handbrake das überhaupt machen dürfen.
Es ist für den Nutzer als sowas ja nicht einmal ersichtlich wenn man sich damit nicht so gut auskennt.

Warum muss es diese Vergabe der Rootrechte so überhaupt geben und warum kann ein Programm nicht gezielt etwas erlaubt bekommen.

Die Frage ist ja warum braucht ein Programm überhaupt den Zugriff auf den Schlüsselbund? Gibt es ein Programm bei dem es Sinnvoll ist?

Das heißt wenn ich ein Programm habe das mit es erlaubt die Lüfter manuell zu steuern benötigt ja sicherlich Rootrechte, also hat es auch Zugriff auf meine gesamten Passwörter... Das ist doch nicht zu ende gedacht.
 

echo.park

deaktivierter Benutzer
Registriert
08.06.11
Beiträge
11.076
Handbrake darf nicht auf den Schlüsselbund zugreifen.

Der enthaltene Trojaner fragt aber danach. Der User aktzeptiert und gewährt den Zugriff, unbewusst.

Ist doch alles ganz logisch.

Welche Apps Zugriff darauf benötigen?
Na, dazu gehören Mail und Safari zum Beispiel.
 

_macminimal

Melrose
Registriert
11.11.14
Beiträge
2.489
Handbrake darf nicht auf den Schlüsselbund zugreifen.

Der enthaltene Trojaner fragt aber danach. Der User aktzeptiert und gewährt den Zugriff, unbewusst.

Ist doch alles ganz logisch.

Welche Apps Zugriff darauf benötigen?
Na, dazu gehören Mail und Safari zum Beispiel.

Genau darum geht es doch! Wozu benötigt Mail oder Safari den Zugriff auf FTP-PWs aus Adobe DW zB. Natürlich benötigt Safari Zugriff auf die IN SAFARI zu nutzenden Web-PWs. Wozu also ein Installer bzw. eine Software dahinter Zugriff auf ALLE nicht zu ihr gehörende PWs gewährt wird ist mir überhaupt nicht klar. Insofern frage ich mich wieso hier keine "Grenze" existiert. Auf explizite Nachfrage - bitteschön.
 

kelevra

Stahls Winterprinz
Registriert
12.07.10
Beiträge
5.165
Es gibt auch Drittanbieter die Passwörter im Schlüsselbund ablegen, zum Beispiel PGP/GPG. Die dürfen dann aber nur auf ihre eigenen Einträge zugreifen. Das wird über die entsprechende API geregelt.

Die Übergabe von root Privilegien ist grundsätzlich ein Sicherheitsrisiko, ja. Das habe ich glaube ich, aber auch schon deutlich dargestellt. Am Ende bleibt eben noch der Nutzer, der entscheiden muss, was er tut. Es soll ja auch Leute geben, die ihre Passwörter in Online Passwortmanagern ablegen oder auf PostIt's an den Monitor kleben. Auch im Jahre 2017 ist 12345 noch eines der Top 10 Passwörter. Das sagt doch alles über die Nutzer aus.
 

jack_pott

Rheinischer Krummstiel
Registriert
15.12.07
Beiträge
379
Manche Programme brauchen Root-Rechte während der Installation, weil sie in Systembereiche schreibe müssen.
Man sollte sich eben immer vorher überlegen: braucht das Programm diese Rechte? Warum will es diese Rechte? Ich gebe auf der Teilnahmeliste im Seminar auch nicht meine Kontodaten an.

Wer ohne Nachzudenken immer und überall seine Passwörter preisgibt, sollte vielleicht nicht an einem Computer mit Internetzugang sitzen. Oder zumindest keine Software installieren.

Natürlich, solche Dinge wie im Falle Handbrake können passieren! Dann behebt man das Problem – und gut is'! Gleich einen riesigen Sicherheitsskandal zu wittern halte ich doch für albern. Ich fordere auch keine stumpfen Messer, weil ich mir mal in die Hand geschnitten habe. Das Kind mit dem Bade ausschütten und so.

Und wer jetzt doch Panik schiebt und höhere Sicherheitsvorkehrungen wünscht, kann sich ja einfach nur noch Apps aus dem AppStore installieren; einen zweiten User für die Nutzung im Alltag anlegen und diesem sämtliche relevanten Rechte entziehen. „Nimm mir meine Rechte, ich kann mit der Freiheit nicht umgehen.“ – wer sich selbst beschränken möchte, kann das ja tun. Die Möglichkeiten gibt es. Aber systemseitig will ich jedenfalls nicht von vornherein eingeschränkt werden.
 
  • Like
Reaktionen: wolf1210 und Nasi

_macminimal

Melrose
Registriert
11.11.14
Beiträge
2.489
Das ein Programm Root-Rechte benötigt und/oder auf selbst erstellte Einträge im SB zugreifen können muss ist doch iO. Der Zugriff auf sämtliche PWs im SB macht dennoch keinen Sinn und ist ganz offenbar ein Risiko.

Andererseits bin ich kein Programmierer im systemnahen Bereich, kann also sein das es für diese Systematik dennoch Gründe gibt.
 

kelevra

Stahls Winterprinz
Registriert
12.07.10
Beiträge
5.165
Wie gesagt, können Programme im Normalfall nur auf die eigenen Einträge in der Keychain zugreifen. Root darf alles. Das ist nun mal so und das ist auch gut so. Denn sonst hätte man keine wirkliche Kontrolle über das eigene System. Das mag in iOS für die Masse funktionieren. Ein so eingeschränktes System auf dem Mac sehe ich nicht als zukunftsträchtig ein.

Ein bisschen selber denken gehört eben auch beim Benutzen von Computern dazu.
 

Adelar3x

Thurgauer Weinapfel
Registriert
11.09.13
Beiträge
1.001
Steht denn bei der Abfrage was von Root-Rechten? Normalerweise ist doch immer die Rede davon, dass das Programm Änderungen am System vornehmen möchte. Was ist denn eine Installation anderes als eine Änderung am System? Wie gesagt: Normalerweise geht man doch davon aus, dass man nur dem OS gegenüber die Änderung autorisiert, nicht die Weitergabe des PW.
 

Adelar3x

Thurgauer Weinapfel
Registriert
11.09.13
Beiträge
1.001
LOL, ich halte das ganze für ein Gerücht. Ich habe am 3.Mai das Handbreak Update runtergeladen und nichts von den beschriebenen Dingen entdeckt. Also, weiter geht's mit Handbreak.
Das Ganze betraf auch nur einen französischen Server und auch nur den direkten Download. Zumindest bei Version 1.0 oder später, da dort beim Updater die Datei mithilfe einer DSA-Signatur überprüft wird. Ist übrigens alles auch auf der Seite von macrumors zu finden.
 

kelevra

Stahls Winterprinz
Registriert
12.07.10
Beiträge
5.165
Steht denn bei der Abfrage was von Root-Rechten? Normalerweise ist doch immer die Rede davon, dass das Programm Änderungen am System vornehmen möchte. Was ist denn eine Installation anderes als eine Änderung am System? Wie gesagt: Normalerweise geht man doch davon aus, dass man nur dem OS gegenüber die Änderung autorisiert, nicht die Weitergabe des PW.

Diese Annahme ist falsch.

Fragt ein Programme nach dem Admin Passwort, zum Beispiel für eine Installation, bestätigt die Eingabe des Passworts nicht nur diese Aktion. Vielmehr werden dem Programm root Rechte eingeräumt. Was es mit denen macht, kann man herausfinden (log Dateien etc.) bleibt aber Ende eine Vertrauenssache.

Deswegen gilt der Grundsatz: Wird nach dem Admin Passwort gefragt, sollte man sich überlegen, wofür die Software die erhöhten Privilegien benötigt und ob das gerechtfertigt ist. Im Zweifel würde ich den Vorgang abbrechen und mich erstmal informieren.
 

paul.mbp

Lane's Prinz Albert
Registriert
20.06.09
Beiträge
4.937
Und an welcher Stelle im Internet hätte sich der interessierte Nutzer von Handbrake im betroffenen Zeitraum zuverlässig informieren können?

Er hätte hunderte gute Reviews zu dem Programm gefunden und vermutet das die Abfrage des Passworts zur Installation der Software schon in Ordnung geht. Schliesslich nutzen ja schon ganz viele erfolgreich & problemlos diese Software.
 
  • Like
Reaktionen: ullistein und Zwuckel

Joh1

Golden Noble
Registriert
01.04.14
Beiträge
14.384
Diese Annahme ist falsch.
Ich wusste das zumindest bis jetzt nicht das es so ist.

Die Annahme ist in dem Sinne auch nicht falsch da man in dem Infofenster wo man sein Passwort eingeben muss, nichts von Root-Rechten liest.
 
Zuletzt bearbeitet:

Mac K.

Zwiebelapfel
Registriert
18.11.14
Beiträge
1.271
Es kommt doch auch auf die gewählten Sicherheitseinstellungen des Systems an. Da gibt es einen Punkt wo man auswählen kann ob das Passwort abgefragt wird, wenn Änderungen durch Programme am System vorgenommen werden.
 

echo.park

deaktivierter Benutzer
Registriert
08.06.11
Beiträge
11.076
Also solange es keine Drive-By Infektionen auf dem Mac gibt, bin ich absolut zufrieden.

:p

Selbst runterladen, selbst ausführen und selbst per Passwort bestätigen. Das ist doch Kindergarten.
 

kelevra

Stahls Winterprinz
Registriert
12.07.10
Beiträge
5.165
Und an welcher Stelle im Internet hätte sich der interessierte Nutzer von Handbrake im betroffenen Zeitraum zuverlässig informieren können?

Er hätte hunderte gute Reviews zu dem Programm gefunden und vermutet das die Abfrage des Passworts zur Installation der Software schon in Ordnung geht. Schliesslich nutzen ja schon ganz viele erfolgreich & problemlos diese Software.

Da gebe ich dir grundsätzlich Recht. Das ist das Fatale an der Vorgehensweise, wie sie hier stattgefunden hat. Das ist auch nicht das erste Mal, dass man versucht einen Trojaner zu verteilen, indem man eine beliebte kostenlose Software auf dem Downloadserver austauscht. Der BitTorrent Client Transmission wurde schon mehrfach auf dieses Weise manipuliert. (Quelle)

In solchen Fällen wie diesen würde helfen die Prüfsumme des Downloads zu prüfen.

Ich wusste das zumindest bis jetzt nicht das es so ist.

Die Annahme ist in dem Sinne auch nicht falsch da man in dem Infofenster wo man sein Passwort eingeben muss, nichts von Root-Rechten liest.

Das ist richtig, dass das so nicht konkret dasteht, ist aber am Ende genau das was passiert.

Ich wollte auch niemanden persönlich angreifen, daher bitte nicht falsch verstehen.
Viel mehr versuche ich aufzuklären und ein Bewusstsein für die Thematik zu schaffen und zu informieren.

Es kommt doch auch auf die gewählten Sicherheitseinstellungen des Systems an. Da gibt es einen Punkt wo man auswählen kann ob das Passwort abgefragt wird, wenn Änderungen durch Programme am System vorgenommen werden.

Was du meinst ist das Häckchen unter Einstellungen → Sicherheit → Erweitert. Das hat nichts mit Root-Privilegien zu tun. Möchte sich ein Programm root Rechte einholen, verlangt das System immer nach dem Administrator Passwort.

Das entspricht dem gleichen Schema, wie wenn man im Terminal etwas mit dem berühmten "sudo" ausführen möchte.