Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?

Mac-Trojaner Eleanor: Vermeintlicher Datei-Konverter installiert Hintertür

Als EasyDoc Converter wurde ein neuer schädlicher Mac-Trojaner auf populären Software-Portalen als Download angeboten. Der von Bitdefender auf den Namen "Backdoor.MAC.Eleanor" getaufte Schädling installiert eine Hintertür auf den Mac, über welche die Angreifer per Internet die vollständige Kontrolle über System und Daten erlangen können. Die versprochene Datei-Konvertierung beherrscht die vermeintliche Helfer-App hingegen nicht.


Der Analyse zufolge handelt es sich bei der Hintertür um einen umfangreichen Web-Dienst, der sich in das anonyme Tor-Netzwerk einwählt und unter anderem Dateizugriff, Befehlszeile, Skript-Installation und Prozesskontrolle bietet. Mithilfe der Komponente "wacaw" können die Angreifer außerdem Fotos und Videos von angeschlossenen Kameras wie der häufig integrierten FaceTime/iSight-Kamera erstellen. Damit der Angreifer über die Hintertür informiert wird, legt der Trojaner die Zugangsdaten verschlüsselt auf dem öffentlichen Informationsdienst Pastebin ab.

Die Hintertür im Tor-Netzwerk

Nutzer sollten schon beim ersten Start des Schädlings skeptisch werden, denn in den Standard-Einstellungen verweigern aktuelle Versionen von OS X den App-Start, weil keine Entwickler-Signatur vorhanden ist. Diese können registrierte Entwickler normalerweise nach der Jahresgebühr von aktuell 99 Euro für Apps in beliebigem Umfang erstellen. Es gibt kaum noch Apps, die ohne Signatur angeboten werden.

Für Apple und Nutzer bietet dieses System die Sicherheit, dass im Notfall eine Signatur zurückgezogen und damit das Ausführen schädlicher Apps verhindert werden kann. Doch ruht sich Apple nicht aus und wird mit dem kommenden macOS Sierra auch noch einige Änderungen an Gatekeeper vornehmen.
Apple TV: YouTube-Bildschirmschoner erscheint ungefragt
Apple TV: YouTube-Bildschirmschoner erscheint u...
Wie lange wird Intel noch unterstützt?
Wie lange wird Intel noch unterstützt?
Großausfall bei Apple: Zahlreiche Dienste gestört
Großausfall bei Apple: Zahlreiche Dienste gestö...
Alternative App Stores & iOS 17.4: Was Nutzer bedenken sollten
Alternative App Stores & iOS 17.4: Was Nutzer b...
iPhone 16: Die ersten Dummy-Modelle kursieren und zeigen Details
iPhone 16: Die ersten Dummy-Modelle kursieren u...
AirPower lädt Apple Watch: Vorgang erstmals in Video festgehalten
AirPower lädt Apple Watch: Vorgang erstmals in ...
Linsenspiegelungen: Bekommt Apple das Problem mit dem iPhone 16 in den Griff?
Linsenspiegelungen: Bekommt Apple das Problem m...
Vergleichstabelle: Welcher Messenger ist sicher?
Vergleichstabelle: Welcher Messenger ist sicher?

Kommentare

gritsch06.07.16 17:25
Verlangt das "Tool" Adminrechte oder wie soll sonst folgendes möglich sein:
vollständige Kontrolle über System

und falls ja, sollte man sich fragen wozu ein dateikonvertierungsprogramm admin-rechte brauchen sollte...
0
sierkb06.07.16 19:30
gritsch
Verlangt das "Tool" Adminrechte oder wie soll sonst folgendes möglich sein:
vollständige Kontrolle über System

und falls ja, sollte man sich fragen wozu ein dateikonvertierungsprogramm admin-rechte brauchen sollte...

Zum Beispiel, weil es wie in diesem Fall unsigniert daherkommt. Und OS X in so einem Fall automatisch ein Admin-Passwort anfordert, wenn man eine App trotz gegenteiliger Einstellung in den Systemeinstellungen absichtlich trotzdem ausführen lassen möchte (indem man es z.B. in der dann erscheinenen Zeile in den Systemeinstellungen für diese eine App entsprechend explizit bejaht oder sie per Rechtsklick öffnet und dann bejaht), auch wenn sie nicht signiert ist.

Details: , , (PDF)
0
jogoto06.07.16 19:43
gritsch
und falls ja, sollte man sich fragen wozu ein dateikonvertierungsprogramm admin-rechte brauchen sollte...
Es gibt viele Fragen. Z.B. auch warum ein ansonsten kostenpflichtiges Programm "woanders" umsonst zu haben ist. Aber die Freude darüber scheint jegliche "Fragwürdigkeit" zu verhindern ...
0
Metti
Metti06.07.16 19:58
sollte man sich fragen wozu ein dateikonvertierungsprogramm admin-rechte brauchen sollte...

Ist es nicht so, dass man Adminrechte benötigt um das Programm in den Programmeordner (für alle Nutzer) zu kopieren/verschieben?
Das ist ein "Problem", welches viele Installer haben.
Mir würde es reichen, wenn es im Programmeordner des Nutzers installiert würde. Bietet nur kaum jemand an

Gruß, Metti
0
Lerchenzunge06.07.16 20:05
Gier frisst Hirn. Passiert schon mal.

jogoto
gritsch
und falls ja, sollte man sich fragen wozu ein dateikonvertierungsprogramm admin-rechte brauchen sollte...
Es gibt viele Fragen. Z.B. auch warum ein ansonsten kostenpflichtiges Programm "woanders" umsonst zu haben ist. Aber die Freude darüber scheint jegliche "Fragwürdigkeit" zu verhindern ...
0
sierkb06.07.16 20:13
Metti
sollte man sich fragen wozu ein dateikonvertierungsprogramm admin-rechte brauchen sollte...

Ist es nicht so, dass man Adminrechte benötigt um das Programm in den Programmeordner (für alle Nutzer) zu kopieren/verschieben?

Das kommt auch noch hinzu. Weil /Applications dem Superuser root gehört und der Gruppe admin und beide dort Schreibrechte haben. Wer da reinschreiben (will heißen: eine App drin ablegen) will, der muss entweder Admin-Nutzer sein (dann muss er sich nicht identifizieren, denn er hat da ja eh schon Schreibrechte), und wenn er ein Standard-Nutzer ist, dann muss die Admin-Credentials eingeben, also das Admin-Passwort.
Reicht im Fall dieses Trojaners aus, um dem inliegenden Skript die Rechte zu geben, die es braucht.
Das ist ein "Problem", welches viele Installer haben.

Auch ohne Installer und per Drag&Drop aus einem DMG musst Du die Admin-Credentials eingeben, wenn Du das als Nicht-Admin (Standardbenutzer) tust.
Mir würde es reichen, wenn es im Programmeordner des Nutzers installiert würde.

Bei DMGs stellt sich die Frage nicht: mach's dann doch einfach, ziehe es doch dann in den von Dir erstellten ~/Applications-Ordner in Deinem Heimatverzeichnis rein statt in /Applications, wo Du wie obig gesagt, Admin-Credentials eingeben musst.
Ansonsten: per Pacifist öffnen und dort per Hand extrahieren und dann in Dein eigenes ~/Applications-Verzeichnis ziehen. Geht.
Bietet nur kaum jemand an

Bezogen auf Installer: manche ja, manche nein. Workaround habe ich grad' genannt, es trotzdem tun zu können.

Abgesehen davon: kommt diese infragestehende App denn überhaupt via Installer daher? Oder ist es eh ein DMG, das man nur öffnet und die betreffende App dann per D&D ins /Applications oder ins eigene ~/Applications -Zerzeichnis zieht?
0
sierkb06.07.16 20:15
Lerchenzunge
Gier frisst Hirn. Passiert schon mal.

Hat in diesem Fall mit Gier null zu tun. Weil das Abfragen dieser Credentials bei fehlender Signatur ein grundätzlicher Prozess dieses Betriebssystems ist, völlig unabhängig von der Art der App. Und fehlendes Hirn kannste da auch nicht vorwerfen, da es sich ja in diesem Fall um eine gekaperte reguläre sinnhafte App handelt, die zu diesem Zweck schadhaft verändert worden und u.a. bei Macupdate über einen gekaperten Account hochgeladen worden ist (mittlerweile dort angeblich nicht mehr vorhanden und entfernt worden). Passiert sogar Apple in ihrem eigenen AppStore. Und zwar regelmäßig. Zu regelmäßig. Sogar mit/trotz gültiger Signatur (was nicht nur die Sinnhaftigkeit dieser Signatur dann infragestellt sondern auch Fragen aufwirft, wie gründlich Apple seinen AppStore eigentlich am Eingang kontrolliert, ob in so manchem Fall überhaupt. Aber das ist ein anderes Thema).
0
gritsch06.07.16 20:22
sierkb
gritsch
Verlangt das "Tool" Adminrechte oder wie soll sonst folgendes möglich sein:
vollständige Kontrolle über System

und falls ja, sollte man sich fragen wozu ein dateikonvertierungsprogramm admin-rechte brauchen sollte...

Zum Beispiel, weil es wie in diesem Fall unsigniert daherkommt. Und OS X in so einem Fall automatisch ein Admin-Passwort anfordert, wenn man eine App trotz gegenteiliger Einstellung in den Systemeinstellungen absichtlich trotzdem ausführen lassen möchte (indem man es z.B. in der dann erscheinenen Zeile in den Systemeinstellungen für diese eine App entsprechend explizit bejaht oder sie per Rechtsklick öffnet und dann bejaht), auch wenn sie nicht signiert ist.

Details: , , (PDF)

so ein quatsch! nur weil ein programm nicht signiert ist, werden keine admin-permissions angefordert und schon gar nicht dem programm übergeben!
0
gritsch06.07.16 20:24
Metti
sollte man sich fragen wozu ein dateikonvertierungsprogramm admin-rechte brauchen sollte...

Ist es nicht so, dass man Adminrechte benötigt um das Programm in den Programmeordner (für alle Nutzer) zu kopieren/verschieben?
Das ist ein "Problem", welches viele Installer haben.
Mir würde es reichen, wenn es im Programmeordner des Nutzers installiert würde. Bietet nur kaum jemand an

Gruß, Metti

wozu soll das programm dort hinkopiert werden? installer gibts ja eh so gut wie keine für OS X sondern solche arten von programmen werden einfach entpackt und verwendet (zip, dmg whatever).
0
sierkb06.07.16 20:25
gritsch
so ein quatsch! nur weil ein programm nicht signiert ist werden keine admin-permissions angefordert

Natürlich ist dem so! Und das ist auch gut so! LibreOffice z.B. hat genau deshalb ein Problem mit seinem Language-Installer, der auf diese Weise erstmal freigegeben werden muss.
und schon gar nicht dem programm übergeben!

Nicht dem Programm übergeben.
Lies die Original-Berichts-Quellen zu dieser Schadsoftware, wie sie installiert wird und was sie macht. Oben angegeben.
0
gritsch06.07.16 20:26
sierkb
Metti
sollte man sich fragen wozu ein dateikonvertierungsprogramm admin-rechte brauchen sollte...

Ist es nicht so, dass man Adminrechte benötigt um das Programm in den Programmeordner (für alle Nutzer) zu kopieren/verschieben?

Das kommt auch noch hinzu. Weil /Applications dem Superuser root gehört und der Gruppe admin und beide dort Schreibrechte haben. Wer da reinschreiben (will heißen: eine App drin ablegen) will, der muss entweder Admin-Nutzer sein (dann muss er sich nicht identifizieren, denn er hat da ja eh schon Schreibrechte), und wenn er ein Standard-Nutzer ist, dann muss die Admin-Credentials eingeben, also das Admin-Passwort.
Reicht im Fall dieses Trojaners aus, um dem inliegenden Skript die Rechte zu geben, die es braucht.
Das ist ein "Problem", welches viele Installer haben.

Auch ohne Installer und per Drag&Drop aus einem DMG musst Du die Admin-Credentials eingeben, wenn Du das als Nicht-Admin (Standardbenutzer) tust.
Mir würde es reichen, wenn es im Programmeordner des Nutzers installiert würde.

Bei DMGs stellt sich die Frage nicht: mach's dann doch einfach, ziehe es doch dann in den von Dir erstellten ~/Applications-Ordner in Deinem Heimatverzeichnis rein statt in /Applications, wo Du wie obig gesagt, Admin-Credentials eingeben musst.
Ansonsten: per Pacifist öffnen und dort per Hand extrahieren und dann in Dein eigenes ~/Applications-Verzeichnis ziehen. Geht.
Bietet nur kaum jemand an

Bezogen auf Installer: manche ja, manche nein. Workaround habe ich grad' genannt, es trotzdem tun zu können.

Abgesehen davon: kommt diese infragestehende App denn überhaupt via Installer daher? Oder ist es eh ein DMG, das man nur öffnet und die betreffende App dann per D&D ins /Applications oder ins eigene ~/Applications -Zerzeichnis zieht?

und schon wieder quatsch! wenn du per drag&drop ein programm in den applications-ordner kopierst und dabei admin-passwort eingeben musst, so kommt das prgramm eben NICHT an adminrechte! es startet immer noch mit deinen nutzerrechten. ist fakt.
0
sierkb06.07.16 20:30
gritsch
wozu soll das programm dort hinkopiert werden?

Weil es sinnvoll sein könnte? weil der Nutzer oder betreffense System-Admin das so will vielleicht? Weil Apple das auch von seinem Betriebssystem her so vorgesehen hat und ermöglicht? Und es gut Gründe geben kann, sowas zu tun? Du hast ja auch einen eigenen userspezifischen Library-Ordner und einen eigenen userspezifischen launchd-Ordner. Obwohl es diese systemweit für alle gibt. Aus dem selben Grund hat auch ein userspezifischer ~/Applications-Ordner seinen Sinn oder kann einen bekommen.
installer gibts ja eh so gut wie keine für OS X sondern solche arten von programmen werden einfach entpackt und verwendet (zip, dmg whatever).

Es gibt davon offenbar mehr als Du glaubst und denkst. Und das auch aus gutem Grund. Nicht alles lässt sich eben nur per D&D-App abbilden, z.B., wenn noch irgendwelche userspezifischen Services installiert werden müssen oder das Programm sich nicht einfach nur als eine App unter /Applications ablegen lässt, weil es zu komplex ist. Es gibt deswegen haufenweise Installer-Software. Hat alles seinen tieferne Sinn, warum, wieso und weshalb.
0
gritsch06.07.16 20:31
sierkb
gritsch
so ein quatsch! nur weil ein programm nicht signiert ist werden keine admin-permissions angefordert

Natürlich ist dem so! Und das ist auch gut so! LibreOffice z.B. hat genau deshalb ein Problem mit seinem Language-Installer, der auf diese Weise erstmal freigegeben werden muss.
und schon gar nicht dem programm übergeben!

Nicht dem Programm übergeben.
Lies die Original-Berichts-Quellen zu dieser Schadsoftware, wie sie installiert wird und was sie macht. Oben angegeben.

ich habs gelesen. und da steht auch nichts davon dass das script irgendwie an admin-permissions kommt. es kann also vieles machen, aber eben nicht alles. "vollständige Kontrolle über System" wie es in der news steht ist ganz was anderes!
0
gritsch06.07.16 20:34
sierkb
gritsch
wozu soll das programm dort hinkopiert werden?

Weil es sinnvoll sein könnte? weil der Nutzer oder betreffense System-Admin das so will vielleicht? Weil Apple das auch von seinem Betriebssystem her so vorgesehen hat und ermöglicht? Und es gut Gründe geben kann, sowas zu tun? Du hast ja auch einen eigenen userspezifischen Library-Ordner und einen eigenen userspezifischen launchd-Ordner. Obwohl es diese systemweit für alle gibt. Aus dem selben Grund hat auch ein userspezifischer ~/Applications-Ordner seinen Sinn oder kann einen bekommen.
installer gibts ja eh so gut wie keine für OS X sondern solche arten von programmen werden einfach entpackt und verwendet (zip, dmg whatever).

Es gibt davon offenbar mehr als Du glaubst und denkst. Und das auch aus gutem Grund. Nicht alles lässt sich eben nur per D&D-App abbilden, z.B., wenn noch irgendwelche userspezifischen Services installiert werden müssen oder das Programm sich nicht einfach nur als eine App unter /Applications ablegen lässt, weil es zu komplex ist. Es gibt deswegen haufenweise Installer-Software. Hat alles seinen tieferne Sinn, warum, wieso und weshalb.

ich sag ja nicht dass man die prgramme nicht in /Applications kopieren soll/kann, aber solang man das nur per drag&drop macht (und dort eventuell das passwort eingibt) kann das prgramm nicht an admin-rechte kommen. also alles schön und gut.

Und dass bestimmte programme bestimmte komponenten installieren müssen und dies am einfachsten mit einem installer zu erledigen geht ist mir auch klar. Aber bei den meisten programmen ist das nicht nötig - vor allem nicht bei einem solchen tool! Wenn ich keinen eindeutigen grund erkennen kann warum es einen installer (mit admin-rechten) braucht, dann installier ichs auch nicht. Ansonsten kann man sich ja auch mit zb pacifist ansehen was der installer macht.
0
sierkb06.07.16 20:37
gritsch
und schon wieder quatsch!

Ruuuhisch Brauner, gaaaaanz ruuuuhisch! Mal runterkommen, ja?
Und einen anderen Ton, wenn ich bitten darf! Ich habe Dir nichts getan. Mäßige Dich mal bitte. Geht das nun schon wieder los hier? Bleib' mal höflich und sachlich!
wenn du per drag&drop ein programm in den applications-ordner kopierst und dabei admin-passwort eingeben musst, so kommt das prgramm eben NICHT an adminrechte!

Komm' mal runter von Deiner Palme, auf die Du grad' gesprungen bist und lies bitte nochmal genau, was ich obig geschrieben habe. Ja? Danke. Und dann überlege nochmal Deine Antwort.
Es sind Admin-Rechte notwendig, um in den zentralen /Applications-Ordner reinzuschreiben. Bitte verwechsele da was nicht.
es startet immer noch mit deinen nutzerrechten. ist fakt.

Ich habe nichts Gegenteiliges behauptet. Vielmehr bitte ich Dich, bevor Du weitere falsche Annahmen hier wieder machst: lies Dir doch bitte mal genau durch unter den 3 Original-Links, was diese App genau macht und was sie in Deinem Benutzer-Order ablegt und von dort aus tätigt. Und da es sich um Ransomware handelt, ist allein da schon der Schaden groß genug, den die anrichten kann.
Bitte bitte, bitte: Ruhe bewahren. Atme mal durch. Lies Dich mal in obige Domumente ein, die das alles beschreiben. Und dann diskutieren wir hier weiter. D'accord?
0
gritsch06.07.16 20:41
Es gibt nicht nur dich auf der welt (und hier beim kommentieren). Jemand hat geschrieben dass es (das schadprogramm) durchs kopieren in den applications-ordner an admin-rechte kommt. Das ist falsch.

Genauso falsch ist, dass ein programm an admin-rechte kommt weil es nicht signiert ist. (das hast du behauptet).

die (fehlende) signatur und auch das kopieren (mit adminrechten) irgendwohin führt eben nicht dazu dass das programm admin-rechte bekommt und somit bekommt es auch das system nicht vollständig unter kontrolle (waswohl fälschlicherweise im originalartikel von mtn steht).
0
sierkb06.07.16 20:47
gritsch
ich sag ja nicht dass man die prgramme nicht in /Applications kopieren soll/kann, aber solang man das nur per drag&drop macht (und dort eventuell das passwort eingibt) kann das prgramm nicht an admin-rechte kommen. also alles schön und gut.

In dieser Hinsicht noch was: was nochmal ist unter OSX der standardmäßig eingerichtete Benutzer, mit dem die meisten unterwegs sind und es nicht anders eingerichtet haben? Ist das nun genau dieser Admin-Benutzer oder nicht? Oder liefert Apple sein OS X neuerdings standardmäßig so aus, dass man da standardmäßig Non-Admin ist? Ich meine, mich ganz schwach daran erinnern zu können, dassdem nicht so ist, richtig? *amkopfkratz*
Und dass bestimmte programme bestimmte komponenten installieren müssen und dies am einfachsten mit einem installer zu erledigen geht ist mir auch klar.

Eben. Dann brülle hier bitte nicht so rum. Es gibt keinerlei Grund und Anlass dazu.
Aber bei den meisten programmen ist das nicht nötig

Die meisten Programme, die Du kennst. Andere, mit anderen Erfahrungen mögen Dir da evtl. widersprechen. Abgesehen davon tut es hier jetzt nichts zur Sache, ist völlig unerheblich, ob nun die meisten oder nicht die meisten.
vor allem nicht bei einem solchen tool! Wenn ich keinen eindeutigen grund erkennen kann warum es einen installer (mit admin-rechten) braucht, dann installier ichs auch nicht. Ansonsten kann man sich ja auch mit zb pacifist ansehen was der installer macht.

Also installierst Du Dir zum Beispiel niemals Apples Software- und Sicherheits-Updates? Die kommen nämlich ausnahmlos alle als solch' ein Package-Installer (.pkg) daher und verteilen sich quer über die Platte und nicht als DMG/App (aus genau dem Grund). Nur mal als Beispiel. Und es gibt andere Software-Pakete, die können es auch nicht vermeiden und müssen als Package-Installer (.pkg) daherkommen. Virtualbox zum Beispiel. Oder Java. Oder MacPorts. Oder SafariDeveloperEdition. Oder Xcode Command Line Tools. Oder GPGTools. Oder oder oder. Es gäbe da so irre viele Beispiele zu nennen.
0
gritsch06.07.16 20:51
die pkg sind dann aber zentral verteilt mit signaturen die apple sperren kann wenn sich rausstellt dass es sich um schadsoftware handelt. außerdem haben prgramme aus dem app-store sehr eingeschränkte zugriffe aufs system.

ja, der defaultuser ist der admin-user. ein programm hat aber auch dann nicht vollen zugriff aufs system wenn der admin-benutzer dieses programm startet. um vollzugriff zu erlangen muss das admin-passwort abgefragt werden.

mir ist klar für welche art von programmen es einen installer braucht und warum. mir ist abere eben auch klar dass es für solch ein konvertierungstool eben KEINEN braucht.
0
sierkb06.07.16 20:52
gritsch
Es gibt nicht nur dich auf der welt (und hier beim kommentieren).

Fasse Dich in genau diesem Punkt bitte an die eigene Nase. Und mäßige Dich bitte im Ton! Ich habe Dir nichts getan! Bitte! Calm down. Ja? Bitte!
falsch ist, dass ein programm an admin-rechte kommt weil es nicht signiert ist.

Sondern? Es ist stattdessen wie? Erklär'.
0
gritsch06.07.16 20:56
sierkb
gritsch
Es gibt nicht nur dich auf der welt (und hier beim kommentieren).

Fasse Dich in genau diesem Punkt bitte an die eigene Nase. Und mäßige Dich bitte im Ton! Ich habe Dir nichts getan! Bitte! Calm down. Ja? Bitte!
falsch ist, dass ein programm an admin-rechte kommt weil es nicht signiert ist.

Sondern? Es ist stattdessen wie? Erklär'.

ein programm kommt an adminrechte wenn es diese anfordert, das system zeigt dir das dann an und du musst das passwort eingeben.
Abere eben nicht durch das Kopieren oder weil etwas signiert ist oder nicht (das hat damit beides exakt GAR NICHTS zu tun).
0
sierkb06.07.16 20:59
gritsch
die pkg sind dann aber zentral verteilt mit signaturen die apple sperren kann wenn sich rausstellt dass es sich um schadsoftware handelt.

Nicht alle haben eine solche Signatur. Und trotzdem existieren sie. Und trotzdem kannste sie installieren. Und was macht das OS X-System in einem solchen Fall, wenn es nicht signiert ist und Du es trotzdem installieren möchtest? Erklär'.
außerdem haben prgramme aus dem app-store sehr eingeschränkte zugriffe aufs system.

Deshalb gibt es so einige und nicht wenige Apps und Installer da draußen, die können und dürfen nicht über den AppStore angeboten werden.
ja, der defaultuser ist der admin-user. ein programm hat aber auch dann nicht vollen zugriff aufs system wenn der admin-benutzer dieses programm startet.
Vollen Zugriff nicht. Aber er ist Admin-User. Muss also z.B. schon nicht mehr um Admin-Credentials gefragt werden, denn er ist ja bereits Admin. Und zu root ist es in dem Fall auch nur noch eine Rechteeskalationsstufe entfernt. Und weil diese Entfernugn eben zu kurz ist, genau deshalb hat Apple rootless eingeführt. Indem sie den Admin entmachtet haben und root gleich mit.
um vollzugriff zu erlangen muss das admin-passwort abgefragt werden.

Eben! Und wenn man aber bereits Admin ist? Dann muss da auch nix mehr abgefragt werden. Warum auch? Man ist ja bereits Admin.
mir ist klar für welche art von programmen es einen installer braucht und warum.

Wenn Dir das so klar ist, warum brüllst Du dann hier so rum und machst hier grad' so eine Welle?
mir ist abere eben auch klar dass es für solch ein konvertierungstool eben KEINEN braucht.

Wer sagt denn, dass dieses Programm als Installer daherkommt? Lies mal ganz oben: genau diese Frage habe ich doch gestellt gehabt. Kommt es überhaupt als Package-Installer daher? Oder ist es eine Drag&Drop-App aus einem DMG-Image heraus?
Komm' mal bitte runter!
0
sierkb06.07.16 21:06
gritsch
ein programm kommt an adminrechte wenn es diese anfordert, das system zeigt dir das dann an und du musst das passwort eingeben.

Aha! Habe ich was Anderes gesagt? Nein!
Und wann fordert das System in diesem Fall Admin-Credentials an? Grad' in Bezug auf den /Applications-Ordner (bzgl. dem genau zwei Benutzer Schreibrechte haben: root und irgendein Mitglied der Gruppe admin, also der Admin-Nutzer)?
Abere eben nicht durch das Kopieren

Siehe zuvor Gesagtes.
oder weil etwas signiert ist oder nicht (das hat damit beides exakt GAR NICHTS zu tun).

Nicht? Und warum schlägt sich dann u.a. ein Software-Projekt wie LibreOffice genau mit sowas derzeit rum, weil das Language-Package eben (aus mir nicht bekannten Gründen) unsigniert ist und blockiert wird und an der Ausführung erstmal gehindert wird deswegen und das deswegen unzumutbar für den Nutzer ist und die da eine bessere Lösung erarbeiten? Bei dem Beispiel geht es genau darum. Sind die alle zu doof, haben die da irgendwas nicht verstanden? Magst Du denen da Nachhilfe geben und denen zeigen, wie es richtig gemacht wird? Mach's. Die brauchen eh noch fähige Leute, haben zu wenige, die Mac-spezifisch gut drauf sind und Lust haben mitzumachen.
0
gritsch06.07.16 21:07
sierkb
um vollzugriff zu erlangen muss das admin-passwort abgefragt werden.

Eben! Und wenn man aber bereits Admin ist? Dann muss da auch nix mehr abgefragt werden. Warum auch? Man ist ja bereits Admin.

das ist eben nicht so! Ein programm das von dir als admin-user gestartet wurde kann einiges aber eben NICHT alles machen. es kann sehr viele dateien nicht beschreiben etc. will es das tun, muss es die entsprechenden rechte anfordern und dazu wird dir die passworteingabe angezeigt. Schau dir SMJobBless() an wenns dich intressiert.
0
gritsch06.07.16 21:10
sierkb
gritsch
ein programm kommt an adminrechte wenn es diese anfordert, das system zeigt dir das dann an und du musst das passwort eingeben.

Aha! Habe ich was Anderes gesagt? Nein!
Und wann fordert das System in diesem Fall Admin-Credentials an? Grad' in Bezug auf den /Applications-Ordner?

Ich bin nicht sicher ob du es nicht verstehen kannst oder es nicht verstehen willst.

wenn man ein programm (oder was auch immer) irgendwohin schieben will worauf man keinen schreibzugriff hat, dann fordert das system für sich (für den finder zb) die permission an dort hin zu schreiben. Dadurch hat das programm das grad mit admin-rechten kopiert wurde aber noch lange keine admin-rechte wenn dieses gestartet wird. Will dieses in zb eben den gleichen ordner was schreiben muss es für sich selbst admin rechte vom user anfordern (das system zeigt das also an und du musst das passwort eingeben).
0
sierkb06.07.16 21:14
gritsch
das ist eben nicht so!

Natürlich ist dem so, wenn Du die betreffende App in den /Applications-Ordner reinziehst zur Installation. Warum sollte da was abgefragt werden, da Du ja bereits Admin bist und Schreibrecht auf diesen Ordner hast? Und selbst wenn die da noch eine Linie eingezogen haben, dass der Admin unter Admin-Rechten sich selber nochmal das Recht gibt in /Applications reinzuschreiben.
Auch Mozilla schlägt sich mit deren Autoupdate genau damit rum, weil sie aus dem Fokus verloren haben, dass es immer mehr Benutzer gibt, die standardmäßig eben nicht als Admin unterwegs sind und da dann eben Admin-Credentials bräuchten, um die Firefox.app im /Applications-Ordner per Update ersetzen zu können. Mozilla ist nämich auch langedavon ausgegangen, dass der eingerichtete Nutzer eh Admin ist. Dann klappt der automatische Update-Prozess nämlich ohne Credentials. Ist man aber Non-Admin, hat man da keine Schreibrechte, also müssen Credentials her. Und genau daran elaborieren die nun schon irre, irre lange und kriegen es jetzt erst so langsam hin (warum auch immer das so lange dauert und die das nicht schon längst hinbekommen haben).
Ein programm das von dir als admin-user gestartet wurde kann einiges aber eben NICHT alles machen.

Richtig. Aber genug, um noch viel mehr Schaden anzurichten als ein Non-Admin-User. Und weil das auf der Mac-Platform so ist, hat Apple Stück für Stück den Admin-Nutzer entmachtet. Um dem Nuzer nicht abnötigen zu müssen, einen Non-Admin einzurichten und fortan mit dem standardmäßig sein Tagwerk zu tun.
es kann sehr viele dateien nicht beschreiben etc. will es das tun, muss es die entsprechenden rechte anfordern und dazu wird dir die passworteingabe angezeigt.

Siehe grad' Gesagtes.
0
gritsch06.07.16 21:20
Natürlich braucht ein programm keine rechte anfordern wenn du es bei der gleichen operation auch nicht brauchst (zb dateien in einem ordner ersetzen auf den du schreibrechte hast).
Deshalb hat das programm aber noch lange keine "vollständige Kontrolle über (das) System" wie es der artikel behauptet. Und von rechteeskalation hab ich weder im bericht noch in der originalen analyse des schadprogrammes etwas gefunden also ist es einfach falsche information in der nachricht.
0
sierkb06.07.16 21:25
gritsch
Ich bin nicht sicher ob du es nicht verstehen kannst oder es nicht verstehen willst.

2 Möglichkeiten:
1. Entweder erklärst Du es nicht gut genug, und ich bin zu blöd selbst für Deine Erklärung.
oder
2. Du liegst falsch und ich richtig.


wenn man ein programm (oder was auch immer) irgendwohin schieben will worauf man keinen schreibzugriff hat, dann fordert das system für sich (für den finder zb) die permission an dort hin zu schreiben.

Das ist doch völlig unstrittig. Habe ich nie bestritten. Ganz im Gegenteil sogar!
Dadurch hat das programm das grad mit admin-rechten kopiert wurde aber noch lange keine admin-rechte wenn dieses gestartet wird.

Nochmal: wie heißt nochmal der von Apple eingerichtete EINE Benutzer, der existiert, wenn OS X installiert wird? Ist das nun ein Nutzer mit Admin-Rechten, ja oder nein?
Ändert das irgend jemand von den Nutzern? Ist er dazu vom System veranlasst das zu tun? Nein. Also hat dieser EINE benutzer dann was für Rechte? Hat er Admin-Rechte oder nicht?
Und jegliche App, die er von diesem Account aus startet, erst recht aus dem /Applications-Ordner heraus, startet dann mit wessen Rechten? Mit den Rechten dieses Nutzers? Oder mit wessen Rechten? Und was für rechte hatdieser Nutzer seit Ersteinrichtung? Ist er nun Nutzer mit Admin-Rechten oder nicht? Oder hat er auf einmal plötzlich aus heiterem Himmel weniger Rechte als Admin, wenn ja wodurch veranlasst?
Will dieses in zb eben den gleichen ordner was schreiben muss es für sich selbst admin rechte vom user anfordern (das system zeigt das also an und du musst das passwort eingeben).

Siehe zuvor Gesagtes. Ein User, der kraft Erstinstallation bereits standardmäßig Admin-Rechte hat, ist, wenn nicht irgendein Wunder geschehen ist: Admin. Und hat Admin-Rechte. Und alle Apps, die er startet, ebenfalls. Weil sie mit den Rechten gestartet werden, die der betreffend startende Benutzer eben grad' hat. Und das ist dann standardmäßig welcher Nutzer? Urplötzlich ein Non-Admin? Woher soll der kommen?
0
sierkb06.07.16 21:29
gritsch
Natürlich braucht ein programm keine rechte anfordern wenn du es bei der gleichen operation auch nicht brauchst (zb dateien in einem ordner ersetzen auf den du schreibrechte hast).

Eben! Und genau darum geht's hier.
Deshalb hat das programm aber noch lange keine "vollständige Kontrolle über (das) System" wie es der artikel behauptet.

Erstens: es agiert inden meisten Fällen als Admin. Warum, habe ich erklärt. Zweitens: das Dig verschlüsselt die Festplatte und macht andere schlimme Sachen. Ist Dir das, wenn Du grad' dadurch geschädigter bist, nicht in dem Moment scheißegal, wenn dieses beschissene Programm bei Dir alles Wichtige verschlüsselt, das Dir lieb und heilig ist und sogar, weil es Admin-Erlaubnis hat (da bei den meisten Betroffenen als Admin gestartet), auch alle möglichen (nicht alle, aber durchaus trotzdem lebenswichtige Dateien und Ordner, die das System zum Laufen und Funktionieren braucht, z.B. irgendwas in Library oder anderswo) System-Ordner verschlüsselt, so dass Dein System danach im Grunde nicht mehr funktionsfähig ist, weil es an entscheidenden Stellen blcokiert ist?
Und von rechteeskalation hab ich weder im bericht noch in der originalen analyse des schadprogrammes etwas gefunden also ist es einfach falsche information in der nachricht.

Siehe grad' Gesagtes.
0
gritsch06.07.16 21:31
Wenn du admin bist dann brauchst du das passwort ja gar nicht angeben um welches es hier dauernd ging (um eben das programm in /Applications zu kopieren).
Das kommt auch noch hinzu. Weil /Applications dem Superuser root gehört und der Gruppe admin und beide dort Schreibrechte haben. Wer da reinschreiben (will heißen: eine App drin ablegen) will, der muss entweder Admin-Nutzer sein (dann muss er sich nicht identifizieren, denn er hat da ja eh schon Schreibrechte), und wenn er ein Standard-Nutzer ist, dann muss die Admin-Credentials eingeben, also das Admin-Passwort.
Reicht im Fall dieses Trojaners aus, um dem inliegenden Skript die Rechte zu geben, die es braucht.

Lies dir da nochmal genau durch was du geschrieben hast. Vor allem der letzte satz hats in sich!
Das Eingeben des admin-passwortes in dem fall (um zu kopieren) hat genau gar nichts mit den rechten des trojaners selbst zu tun sondern einfach nur damit wo er abgespeichert ist.
0
gritsch06.07.16 21:34
sierkb
gritsch
Natürlich braucht ein programm keine rechte anfordern wenn du es bei der gleichen operation auch nicht brauchst (zb dateien in einem ordner ersetzen auf den du schreibrechte hast).

Eben! Und genau darum geht's hier.
Deshalb hat das programm aber noch lange keine "vollständige Kontrolle über (das) System" wie es der artikel behauptet.

Erstens: es agiert inden meisten Fällen als Admin. Warum, habe ich erklärt. Zweitens: das Dig verschlüsselt die Festplatte und macht andere schlimme Sachen. Ist Dir das, wenn Du grad' dadurch geschädigter bist, nicht in dem Moment scheißegal, wenn dieses beschissene Programm bei Dir alles Wichtige verschlüsselt, das Dir lieb und heilig ist und sogar, weil es Admin-Erlaubnis hat (da bei den meisten Betroffenen als Admin gestartet), auch alle möglichen (nicht alle, aber durchaus trotzdem lebenswichtige Dateien und Ordner, die das System zum Laufen und Funktionieren braucht, z.B. irgendwas in Library oder anderswo) System-Ordner verschlüsselt, so dass Dein System danach im Grunde nicht mehr funktionsfähig ist, weil es an entscheidenden Stellen blcokiert ist?
Und von rechteeskalation hab ich weder im bericht noch in der originalen analyse des schadprogrammes etwas gefunden also ist es einfach falsche information in der nachricht.

Siehe grad' Gesagtes.

auch wenn du admin bist kann die schadsoftware nicht "die festplatte" verschlüsseln sondern maximal dateien welche in ordner liegen auf die du schreibrechte hast. Systemordner (außer deine eigenen in ~/Library) bleiben unberührt weil du da auch als admin nicht schreiben kannst (ohne dass erweiterte berechtigungen angefordert werden).
0
Weitere News-Kommentare anzeigen

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.