Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?

"Verhalten wie Malware-Anbieter": Adobe ändert wichtige Systemdatei

Das Unternehmen Adobe hat seinen Hauptsitz im kalifornischen San José, 14 Kilometer vom Apple Park entfernt – und ist auch sonst eng mit Apple verwoben: Software wie Photoshop, Premiere, Illustrator und InDesign erscheinen stets für macOS ebenso wie für Windows. Die hochpreisigen Gestaltungs-Apps motivierten in der Vergangenheit einige Nutzer dazu, auf Raubkopien auszuweichen, weshalb das Unternehmen zunehmend ausufernde Kopierschutzmaßnahmen ergriffen hat. Jetzt entdeckte ein Reddit-Nutzer eine kontroverse Änderung: ein Eintrag in der hosts-Datei von macOS, exklusiv für einen bestimmten URL-Aufruf.


Der Eintrag in der Datei /etc/hosts ist für Laien nur schwer aufzuspüren, der Ordner auf der obersten Ebene der Systempartition bleibt im Finder versteckt und lässt sich nur über das Tastenkürzel +. (Punkt) sichtbar machen. Ändern lässt sich die hosts-Datei nur mit Admin-Rechten. Der Eintrag selbst besteht aus drei Zeilen, von denen zwei Kommentare sind. Effektiv handelt es sich also um einen einzigen Eintrag:

## Adobe Creative Cloud WAM- Start##
166.117.29.xyz detect-ccd.creativecloud.adobe.com
## Adobe Creative Cloud WAM - End ##

Modifikationen der /etc/hosts-Datei sind zwar in Server-Szenarien üblich, doch auf einem Anwendersystem eher selten zu finden – die Auswirkungen können unvorhersehbar sein. Bei Schadsoftware hingegen ist diese Masche weitverbreitet, da sich auf diesem Weg bestimmte URL-Aufrufe gezielt auf andere Server umleiten lassen.

Eine unveränderte hosts-Datei von macOS – man beachte den Warnhinweis.

Überprüfung bei Browser-Anmeldung
Reddit-Nutzer thenickdude hat eine Theorie für die Ursache: Ruft man die Website von Adobe auf, versucht ein JavaScript-Befehl eine Datei namens „cc.png“ von der in der hosts-Datei angegebenen URL zu laden. Wurde auf dem Rechner Creative Cloud installiert und dabei auch der Eintrag in der hosts-Datei hinzugefügt, funktioniert der Dateiabruf. Lädt die Datei nicht, meldet JavaScript einen Fehler an den Webserver. Vor einiger Zeit sprach die JavaScript-Funktion direkt „http://localhost“ an. Doch nachdem Googles Chrome-Browser vergangenen Sommer solche Verbindungsanfragen mit einer Berechtigungsanfrage versehen hat, entschied sich Adobe offenbar für diesen kontroversen Workaround.

"Keine Unterschiede zu Schadsoftware"
Die Entdeckung löste umfangreichen Widerspruch aus. John Gruber fragt rhetorisch, was geschehe, wenn jede installierte Software einen Eintrag in /etc/hosts hinterlasse. Er erinnert sich an Zeiten, als Adobe eine Festung bester Entwickler-Praktiken gewesen ist. Inzwischen sei der Creative-Cloud-Installer nicht von Schadsoftware zu unterscheiden. Die erste Hälfte der Aussage ist wohl eher eine Einzelmeinung, die zweite findet allgemeine Zustimmung. Auf Reddit merkt ein sarkastischer Kommentar an, dass eine Raubkopie mittlerweile stabiler laufe, schneller starte und weniger ins System eingreife.
Angeblich Bild vom iPhone 18 Pro aufgetaucht – mit neuer Dynamic Island
Angeblich Bild vom iPhone 18 Pro aufgetaucht – ...
Gemini 3.5 und mehr: Die wichtigsten Ankündigungen der Google I/O 2026
Gemini 3.5 und mehr: Die wichtigsten Ankündigun...
Geschichte der Pro-Macs
Geschichte der Pro-Macs
Kurz: Plex "Lifetime" wird 500 Dollar teurer +++ Apple übernimmt Animato – zumindest de facto
Kurz: Plex "Lifetime" wird 500 Dollar teurer ++...
TechTicker
TechTicker
TechTicker
TechTicker
Chase in Deutschland – Apple Card möglich?
Chase in Deutschland – Apple Card möglich?
Logoist 6 erschienen
Logoist 6 erschienen

Kommentare

WollesMac
WollesMac10.04.26 17:02
Ich Versteh nur Bahnhof.
Was ist denn jetzt die Antwort auf diese rhetorische Frage. Warum ist das eine Systemdatei, wenn sie letztlich nur eine andere Adresse angibt. Wenn man sich die Datenschutzberichte in Safari anguckt, macht eine zusätzliche Verbindung den Kohl auch nicht fett. Was ist jetzt im Vergleich zu vorher bei den Adobeprogrammen anders? Scheint ja nur um die Adobe-Website zu gehen. Und wenn dieser Fehler passiert, läuft dann z.B. Lightroom nicht mehr? Oder anders rum? Usw.
-1
Spacely10.04.26 17:15
Ein Eintrag dort kann bewirken das wenn du google.de in Safari eingibst das dann boeseseite.de aufgeht.

Adobe nutzt das um bei Webseitenbesuchern zu Schnüffeln ob die die CC installiert haben.

Adobe hat schon früher viel zu viel ins System geschrieben. Das ging mir bei Windows schon auf den Keks. Da die Software beim Installieren Adminrechte braucht kann sie alles mögliche anstellen.
Sowas ist pfui.
+37
CHE
CHE10.04.26 17:29
Alt + cmd + . macht bei mir ´nen tollen Ton - sonst nix.
Versteckte Dateien und Ordner mache ich am einfachsten über die Tastenkombination CMD + Shift + Punkt sichtbar .
Rege Dich nicht länger als 5 Min über etwas auf, das Dir in 5 Jahren nicht mehr wichtig sein wird.
+12
Ollie Mengedoht
Ollie Mengedoht10.04.26 17:31
Tatsächlich. Und ich kann den Eintrag nichtmal ausklammern, weil ich nicht Eigentümer der Datei bin.
Et es wie et es, et kütt wie et kütt un et hätt noch emmer joot jejange! :-)
0
System 6.0.1
System 6.0.110.04.26 17:34
Adobe, lang ist‘s her …

Sehr lang.
„A lot of times, people don't know what they want until you show it to them.“ Steve Jobs, 1998
+14
gfhfkgfhfk10.04.26 17:37
WollesMac
Warum ist das eine Systemdatei, wenn sie letztlich nur eine andere Adresse angibt.
Es gibt in UNIX mehrere Ebenen, die erst im Laufe der Zeit entstanden sind, wie man Namen in die für die Maschine notwendigen numerischen Adressen zu übersetzen kann.

Die älteste Methode ist die hosts Datei. Da stehen Rechnernamen und Adressen im LAN bzw. WAN drin. Üblich ist es nur LAN Adressen darin abzulegen, und eben keine WAN Adressen. Letztere sind möglich, aber es gibt nur sehr wenige sinnvolle Einträge. Dazu später mehr.

Darüber kommt der Namenservice im LAN. Das ist klassisch NIS, später durch NIS+ und dann LDAP ersetzt. NeXTSTEP/MacOS X/macOS weicht hier ab, und nutzt(e) NetInfo. NIS war noch nicht geschützt, und konnte manipuliert werden, mit NIS+ wurden dann Verschlüsselungmethoden eingeführt, und in LDAP wird das ganze in modern umgesetzt. Der Client kann man LDAP auch den Server auf Echtheit prüfen, da Zertifikate in beiden Richtungen geprüft werden können.

Wenn man nun in diesen Mechanismus eingreift, verändert man die Hierachie der Namens Auflösung und ermöglicht Manipulationen. Es ist ein absolutes Unding, dass eine Anwendung so etwas macht. Wenn man in einem Firmennetzwerk sich befindet, wird dass wahrscheinlich nicht funktionieren, da dort ein Firewall mit ALG installiert ist. Sonst ist eine Manipulation, bei der sich die Frage stellt, ob das nicht ggf. rechtliche Konsequenzen hat.
+10
GeoM10.04.26 17:51
@ Ollie Mengedoht
wer die hostdatei ohne Terminal editieren möchte, dem sei das altbewährte Werkzeug "Gas Mask" ans Herz gelegt.
+4
fronk
fronk10.04.26 18:08
Ich kann erkennen, dass sich hier etliche erregen und kann das auch nachvollziehen. Aber was genau passiert denn, wenn man die Zeile rausnimmt?
„Love had surely made us all and hate would surely make us fall.“ Elvis Presley
+2
gfhfkgfhfk10.04.26 18:12
Nachtrag:
Wann trägt man WAN Adressen in die Host Datei ein?
Wenn man z.B. den übergeordneten DNS Server vom Provider fest verbinden will. Nicht jeder nutzt eine Verbindung über Router, so dass der DNS Server auch nicht über PPPoE zu gewiesen wird. Dann wird so etwas fest in die Host Datei kodiert, und man fragt z.B. über LDAP und Zertifikat den übergeordneten DSN Server ab. Das Routing wird dann üblicherweise über einen Level3 Switch gemacht, der statische Routingtabellen hat – Stichwort Standleitung.
0
gfhfkgfhfk10.04.26 18:12
fronk
Ich kann erkennen, dass sich hier etliche erregen und kann das auch nachvollziehen. Aber was genau passiert denn, wenn man die Zeile rausnimmt?
Dann läuft die Namensauflösung dem vom Admin vorgegeben Weg, und wird etwa durch BlackHole geblockt.
+2
MikeMuc10.04.26 18:17
Zum Einen fehlt uns jetzt ein Programm, was uns sofort auf Änderungen an der Hostsdatei hinweist. Am Besten wäre es, wenn Apple das ins System integriert, aber Programme wie Little Snitch etc. sollten das auch können / machen.

Zum Anderen wäre es interessant, was Adobe denn mit dieser Info anstellt wenn man die Webseite von Adobe aufruft. Wo verhält sich der Webauftritt anders wenn er feststellt, das die CC installiert ist oder nicht?

Was passiert, wenn man jetzt alle Rechner auf diesen Eintrag prüft und ihn entfernt oder auskommentiert? Prüfen die Adobeprogramme zB beim Starten jetzt auch immer, ob der Eintrag noch in der Hostsdatei existiert? Und wie kann man das wiederum selber beobachten ob jemand auf den Inhalt der Datei lesend zugreift oder eine sich darin befindliche Eintrag auflösen will?
+2
sudoRinger
sudoRinger10.04.26 18:51
Selbst wer die hosts-Datei überwacht, ist nicht geschützt, wenn eine App eine IP direkt hardcodiert.
Praktisches Beispiel aus dieser Woche: Meine Schweizer Smart-Steckdose kontaktiert einen DNS-Server direkt per IP, ohne Namensauflösung. Abhilfe schaffte ich auf Router-Ebene. Ich habe die bekannten DNS-Server-IPs per iptables geblockt und den Traffic auf meinen Pi-hole umgebogen.
Die Antwort auf Adobe ist also nicht die hosts-Datei zu überwachen, sondern ein Prozess-Filter wie Little Snitch, die unabhängig von DNS Verbindungen der Anwendung kontrolliert.
+4
Wauzeschnuff
Wauzeschnuff10.04.26 20:47
fronk
Ich kann erkennen, dass sich hier etliche erregen und kann das auch nachvollziehen. Aber was genau passiert denn, wenn man die Zeile rausnimmt?

Wenn ich das richtig verstehe, ist das eine Art von „Kopierschutz“, und wenn man die Zeile entfernt, könnte sich das Programm für eine Raubkopie halten und den Start verweigern (sozusagen gerade weil es keine Raubkopie ist, aus der diese Abfrage ja herausgepacht wäre).
-1
DunklesZischt10.04.26 20:57
Eine Änderungen der Hosts-Datei ist ein absolutes no-Go. Das stellt einen massiven Bruch der Client-Sicherheit dar. Aus dem Grund ist es bei uns verboten, dies zu tun.

Wir würden das als Sabotage einstufen. Da muss ich am Montag direkt mal die Client-Config entsprechend anpassen, da das sofern rückgängig macht.
+10
frankenstein10.04.26 21:01
Und? Hat schon jemand die Zeile gelöscht? Was passiert dann?
+2
FlyingSloth
FlyingSloth10.04.26 21:59
Dass Adobe Malware ist war auch schon vorher klar. Diese Masche mit dem Host Eintrag bestätigt es nur noch mehr. Was für ein mieser Landen. Zum Glück gibt es mittlerweile Alternativen satt. Bei mir ist Adobe seit mehr als 8 Jahren vom Rechner verbannt. Man muss sich nur trauen, das Pflaster schnell abzureißen.
Fly it like you stole it...
+14
strateg
strateg10.04.26 23:10
es gab schon immer und gibt für alles alternativen — es braucht nur mut und zu beginn etwas mehr zeit sie umzusetzen! das ist wie mit gutem essen — das kommt eher vom bauern oder wochenmarkt und selten aus dem supermarkt.

fast 40 jahre durfte ich betuchte kunden mit speziellen bedürfnissen betreuen — bis heute hat keiner produkte von adobe, meta, microsoft auf seinen apple teilen! it penetrationstest machten wir schon als noch niemand davon wusste und jeder router admin immer 00000 oder 12345 blieb 🤖
cuntentientscha, attentivitad, curaschi —
+1
Hank_Martin
Hank_Martin11.04.26 16:38
frankenstein
Und? Hat schon jemand die Zeile gelöscht? Was passiert dann?
Ja, Cloud scheint nicht mehr zu synchen.
0
caMpi
caMpi11.04.26 23:05
gfhfkgfhfk
Nicht jeder nutzt eine Verbindung über Router, so dass der DNS Server auch nicht über PPPoE zu gewiesen wird. Dann wird so etwas fest in die Host Datei kodiert, und man fragt z.B. über LDAP und Zertifikat den übergeordneten DSN Server ab.
Das Szenario das du beschreibst (Router, PPPoE) trifft größtenteils auf Anwender/Clients zu, und die wären mit ner hosts statt DNS ziemlich aufgeschmissen.
Und LDAP ist ein Verzeichnisdienst und hat mit klassischer Namensauflösung so viel zu tun wie Weihnachten mit Ostereiern.
Keep IT simple, keep IT safe.
+2
gritsch12.04.26 09:48
sudoRinger
Selbst wer die hosts-Datei überwacht, ist nicht geschützt, wenn eine App eine IP direkt hardcodiert.
Praktisches Beispiel aus dieser Woche: Meine Schweizer Smart-Steckdose kontaktiert einen DNS-Server direkt per IP, ohne Namensauflösung. Abhilfe schaffte ich auf Router-Ebene. Ich habe die bekannten DNS-Server-IPs per iptables geblockt und den Traffic auf meinen Pi-hole umgebogen.
Die Antwort auf Adobe ist also nicht die hosts-Datei zu überwachen, sondern ein Prozess-Filter wie Little Snitch, die unabhängig von DNS Verbindungen der Anwendung kontrolliert.

Hier geht es aber um die Browser (Safari, Chrome, FF etc) welche von Adobe "ausgetrickst" werden sollen und nicht um die eigene Software. Die kann natürlich Direktverbindungen herstellen. Zu bestimmten DNS-Servern oder auch direkt zu hardkodierten IP-Adressen. Das kannst du dann mit zb LittleSnitch verhindern. Ersteres aber nicht.
0
sudoRinger
sudoRinger12.04.26 10:25
gritsch
Hier geht es aber um die Browser (Safari, Chrome, FF etc) welche von Adobe "ausgetrickst" werden sollen und nicht um die eigene Software. Die kann natürlich Direktverbindungen herstellen. Zu bestimmten DNS-Servern oder auch direkt zu hardkodierten IP-Adressen. Das kannst du dann mit zb LittleSnitch verhindern. Ersteres aber nicht.
Little Snitch überwacht alle ausgehenden Verbindungen prozessgenau, auch die des Browsers, unabhängig davon, ob die Zieladresse per DNS oder per hosts-Datei aufgelöst wurde.
Little Snitch verhindert nicht die hosts-Manipulation, aber das war auch nicht meine Aussage, sondern: egal ob eine App eine IP hardcodiert oder die hosts-Datei manipuliert, Little Snitch sieht die Verbindung in beiden Fällen. Das Prinzip ist dasselbe.
+2
Weia
Weia12.04.26 16:09
MacTechNews

Eine unveränderte hosts-Datei von macOS – man beachte den Warnhinweis.
Die Beachtung würde ohne das ausgeklügelte Schriftdesign Dunkelblau auf Dunkelblauer leichter fallen.

Im Ernst, um Missverständnissen von denen vorzubeugen, die sich mit der Unix-Ebene von macOS nicht näher auskennen: Das ist so sehr missverständlich formuliert, denn dieser Warnhinweis bezieht sich ausschließlich auf den localhost/broadcasthost-Eintrag und nicht, wie die Bildunterschrift nahelegt, auf die hosts-Datei als solche. localhost muss halt auf jedem Unix-Computer exakt so definiert sein, sonst versteht der Rechner sich selbst nicht mehr.

Aber die hosts-Datei insgesamt ist ganz im Gegenteil eine Konfigurationsdatei und als solche gerade explizit dazu gedacht, sie zu editieren, um sein System einzurichten.

Klassischerweise gehören in diese Datei alle Geräte im lokalen (daher nicht über Internet-Nameserver adressierbaren) Netzwerk, die man über einen Namen statt eine (schlechter merkbare) IP-Adresse ansprechen will, die aber kein mDNS (a.k.a. Bonjour) unterstützen und daher ihren Namen nicht eigenständig durchfunken können.

/etc/hosts ist sozusagen der lokale DNS-Server. Bei mir sind da augenblicklich 25 Einträge drin und ich ändere die Datei immer wieder mal. An solchen Einträgen ist also an und für sich überhaupt nichts Ungewöhnliches oder gar Unheimliches; ungewöhnlich bis inakzeptabel ist lediglich, dass ein Drittanbieter ungefragt in dieser Konfiguration herumfummelt – das wäre aber nicht anders, wenn er in den Systemeinstellungen ungefragt Änderungen vornehmen würde.
„Meinung“ ist das Foren-Unwort des Jahrzehnts.
+2
ulfilas12.04.26 16:30
CHE
Alt + cmd + . macht bei mir ´nen tollen Ton - sonst nix.
Versteckte Dateien und Ordner mache ich am einfachsten über die Tastenkombination CMD + Shift + Punkt sichtbar .

Terminal öffnen

cat /etc/hosts

eingeben und fertig.
0
mat6312.04.26 16:59
ulfilas
CHE
Alt + cmd + . macht bei mir ´nen tollen Ton - sonst nix.
Versteckte Dateien und Ordner mache ich am einfachsten über die Tastenkombination CMD + Shift + Punkt sichtbar .

Terminal öffnen

cat /etc/hosts

eingeben und fertig.

Was genau passiert dann?
0
gfhfkgfhfk12.04.26 17:19
mat63
Was genau passiert dann?
Der Inhalt wird auf dem Terminal ausgegeben.
0
SKir13.04.26 09:08
Adobe, Microsoft, Google, Meta, die wollen nur euer bestes, Geld und Daten.
Man sollte sich echt überlegen welche alternativen man einsetzen kann.
Leider ist jeder Systemwechsel mit mehr oder weniger Problemen behaftet, aber es ist machbar. Adobe habe ich schon seit Jahren verbannt
+3
Jethro100013.04.26 10:11
Finde ich eine interessante und nicht durchdachte Entscheidung, die in professionellen Umgebungen scheitern könnte.
Ich nehme mal unsere verwaltete Umgebung (ca. 200 Mac's) mit Jamf Pro und Jamf Protect. Hier werden unter anderem auch Dateien wie z.B. /etc/hosts überwacht. Da wird Jamf Protect Alarm schlagen und den Versuch blocken. Wenn Adobe meint, dass wir die Datei Überwachung deaktivieren werden, haben die sich in den Finger geschnitten.
0
Sascha77
Sascha7713.04.26 10:46
GeoM
@ Ollie Mengedoht
wer die hostdatei ohne Terminal editieren möchte, dem sei das altbewährte Werkzeug "Gas Mask" ans Herz gelegt.
Würde ich gerne mal testen, aber lässt sich bei mir (macOS 15.7.1) nicht öffnen:
„Gas Mask“ nicht geöffnet

Apple konnte nicht überprüfen, ob „Gas Mask“ frei von Schadsoftware ist, die deinen Mac beschädigen oder deine Privatsphäre verletzen kann.

In den Papierkorb legen
Fertig
0
Solaris
Solaris13.04.26 16:07
Gas Mask ist mehr oder weniger deprecated, es wurde schon länger nicht mehr aktualisiert und verwendet intern veraltete Bibliotheken. Es liesse sich glaube ich aber noch via HomeBrew installieren. Es braucht natürlich auch noch Rosetta
+1
OliverCGN14.04.26 16:04
Um die Hosts Datei zu editieren benötigt man keine "Gas Mask"!
Da reicht das Terminal und der Befehl:
Terminal:
sudo nano /etc/hosts

Weia
Aber die hosts-Datei insgesamt ist ganz im Gegenteil eine Konfigurationsdatei und als solche gerade explizit dazu gedacht, sie zu editieren, um sein System einzurichten.

Klassischerweise gehören in diese Datei alle Geräte im lokalen (daher nicht über Internet-Nameserver adressierbaren) Netzwerk, die man über einen Namen statt eine (schlechter merkbare) IP-Adresse ansprechen will, die aber kein mDNS (a.k.a. Bonjour) unterstützen und daher ihren Namen nicht eigenständig durchfunken können.

/etc/hosts ist sozusagen der lokale DNS-Server. Bei mir sind da augenblicklich 25 Einträge drin und ich ändere die Datei immer wieder mal. An solchen Einträgen ist also an und für sich überhaupt nichts Ungewöhnliches oder gar Unheimliches; ungewöhnlich bis inakzeptabel ist lediglich, dass ein Drittanbieter ungefragt in dieser Konfiguration herumfummelt – das wäre aber nicht anders, wenn er in den Systemeinstellungen ungefragt Änderungen vornehmen würde.
Danke! Einer der wenigen brauchbaren Kommentare hier!
0
Weitere News-Kommentare anzeigen

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.