922468

Daten löschen per Fernsteuerung

25.05.2004 | 16:58 Uhr |

Nach dem Besuch einer Web-Seite sind im eigenen Privatordner Daten gelöscht, und man weiß nicht warum. Schuld hat ein Programm, das ferngesteuert aus dem Web auf dem Rechner gelandet ist und dann gestartet wurde, ohne dass man davon Kenntnis genommen hat.

Eindringling: Über ein heimlich über das Web eingeschleustes Programm lässt sich Schaden auf dem Rechner anrichten.
Vergrößern Eindringling: Über ein heimlich über das Web eingeschleustes Programm lässt sich Schaden auf dem Rechner anrichten.
© 2015

Das geschilderte Szenario ist nur eine potentielle Möglichkeit, echte Schaden anrichtende Anwendungen sind bisher nicht bekannt. Man muss also momentan nicht in Hektik verfallen, sollte aber dieses Loch in der Verteidigungslinie gegen böswillige Angriffe stopfen.
Vor einigen Tagen hat Macwelt Online schon über eine potentielle Angriffslücke über einen Browser und den Help Viewer berichtet. Dabei wird im Hintergrund über das Web auf dem Rechner ein Script installiert, das dann der Help Viewer abarbeitet. Das Script kann beispielsweise das Terminal starten und im Privatordner Daten löschen. Das System selbst ist nicht gefährdet, so lange man nicht sein Administrator-Passwort eingibt oder dummerweise den Rechner als Superuser (root) gestartet hat (was man niemals tun sollte!). Diese Lücke hat Apple inzwischen mit dem Sicherheitsupdate vom 24. Mai gestopft, das es sowohl für Panther als auch für Jaguar gibt.
Diese Kombination aus Web-Browser und Help Viewer ist jedoch nicht die einzige Möglichkeit, ferngesteuert aus dem Internet auf dem eigenen Rechner ein Programm auszuführen. Wie inzwischen von einigen kundigen Mac-Anwendern und Programmierern herausgefunden wurde, gibt es noch andere Optionen. Die Möglichkeit eröffnet sich, da sich in Mac-OS X viele Aktionen über einen Uniform Resource Identifier (URI) aktivieren lassen. Dazu gehört unter anderem "help", mit dem man wie im Help-Viewer-Beispiel das Programm Help Viewer startet und es dann per Befehl "runscript" das heimlich auf den Rechner transportierte Script abarbeiten lässt.

Ausschalten: Mit der Systemeinstellung Default Apps lassen sich alle gefährlichen URIs deaktivieren.
Vergrößern Ausschalten: Mit der Systemeinstellung Default Apps lassen sich alle gefährlichen URIs deaktivieren.
© 2015

Auch andere standardmäßig unter Mac-OS X verfügbare Prozesse wie "telnet" und "ssh" kann man per über das Web eingeschleustem URI-Befehl starten und Befehle ausführen lassen. Leider genügt es jedoch nicht, die dazugehörigen URIs zu deaktivieren, denn es steht noch eine weitere Variante zur Verfügung, die nicht auf schon vorhandene Anwendungen angewiesen ist. Da jedes Programm einem eigenen URI beim Finder registrieren lassen kann ist es möglich, eine beliebige, Schaden anrichtende Anwendung auf dem Rechner zu platzieren, diese beim Finder zu registrieren und dann per URI-Aufruf aus dem Web zu starten. Um die Anwendung auf dem Rechner zu platzieren, setzt man entweder auf den URI "disk" beziehungsweise "disks", mit dem sich ein Disk Image übertragen und auf dem Rechner aktivieren lässt, oder aktiviert per "ftp" oder "afp" ein Server-Volume auf dem Mac. Da der Pfad zum Disk Image oder dem Server-Volume jeweils bekannt ist, lässt sich nun die dort gespeicherte Anwendung nach der automatischen Registrierung ihrer speziellen URI ferngesteuert in Aktion setzen.

Schutzmaßnahmen

Warnung: Des Systemhack Paranoid Android gibt eine Warnmeldung, wenn über das Web per URI ein Prozess gestartet werden soll.
Vergrößern Warnung: Des Systemhack Paranoid Android gibt eine Warnmeldung, wenn über das Web per URI ein Prozess gestartet werden soll.
© 2015

Gegen diese potentiellen Angriffmöglichkeiten gibt es von Apple bisher noch keine Lösung, man kann sich aber über kostenlose Software von Drittherstellern schützen.
Die eine Möglichkeit ist die Systemeinstellung RCDefaultApp von :Rubicode . Man installiert sie im Ordner "PreferencePanes" im Ordner "Library", meldet sich ab und wieder an und begibt sich dann in die Abteilung "URLs". Dort setz man folgende Einträge über das Aufklappmenü rechts im Fenster auf "<disable>: afp, disk, disks, ftp, ssh und telnet. Damit deaktiviert man diese URIs für Aufrufe von außen, kann aber weiterhin selbst auf Server zugreifen, die afp und ftp verwenden.
Die andere Option ist der Systemhack Paranoid Android 1.2 von Unsanity . Ist dieser installiert, öffnet sich jeweils ein Warnhinweis, wenn über das Internet versucht wird, per URI einen Dienst oder einen Prozess auf dem Rechner zu starten. Man kann dann den Vorgang abbrechen oder, wenn es sich um eine rechtmäßige Anwendung handelt, auch fortsetzen.
Auf jeden Fall sollte man außerdem das Security Update 2004-05-24 von Apple installieren und in Safari die Option "Sichere Dateien nach dem Laden öffnen" in den Voreinstellungen deaktivieren.

0 Kommentare zu diesem Artikel
922468