MacMacken-Leser Christoph hat mich per E-Mail auf ein Sicherheitsproblem mit Zusammenhang mit dem «Programme»-Ordner von Mac OS X hingewiesen:
Installiert man ein Programm über Drag&Drop in den Applications-Order, erhält das Programm normalerweise die Eigentümerrechte des aktuellen Benutzers (r-w-x), Admin und Everyone erhalten Leserechte. Somit läßt sich der (Paket-)Inhalt dieses Programms allein mit den Rechten des aktuellen Benutzers (der das Prg. installiert hat) manipulieren.
Mit anderen Worten: Alle per Drag&Drop installierten Programme, deren Eigentümer der aktuelle Benutzer ist (hat Read/Write), können von Malware denkbar einfach manipuliert werden.
Als mögliche Lösung empfiehlt Christoph folgendes Vorgehen:
Mögliche Lösung (praktiziere ich so): BatchMod benutzen, um die Eigentümerrechte des Programmes (inkl. aller Unterordner und Dateien) zu ändern (hin zu “System”). Ausnahme: Programme wie Firefox, deren interne Updatefunktion Read/Write-Rechte des Benutzers voraussetzt, um einwandfrei zu funktionieren.
Vielen Dank für den Hinweis! 
Und warum tut MacMacken-Leser Christoph das? Warum installiert er seine Software nicht ausschliesslich mit dem Admin-501-User (praktiziere ich so)?
Bitteschön.
Typischer Trade-off zwischen Sicherheit und Komfort.
Bezeichne mich als Pingelig oder was auch immer, aber wie soll das bitte schön gehen???
1. Man macht nichts auf den Mac (genau so wenig den PC) was nicht vertrauenswürdig ist.
2. Sollte das ganze per Update kommen, werden eine Stunde später die Sirenen im ganzen Internet los heulen und kein entwickler wird seinen guten Ruf für das hergeben.
Aber das wäre dann ja keine Malware, denn laut Wikipedia ist es erst dann Malware, wenn:
Geht ja beim Mac nicht unbemerkt, ergo keine Malware.
Ich finde das auch nicht allzu wichtig. Mein Mac läuft seit 2 Jahren vor sich hin und zeigt nun die ersten Probleme – wohl aber wegen der Airport-Karte (neuer iMac, ca. 6 Monate alt), die eventuell einen Defekt hat.
Ähm.… ist es nicht irgendwie schlimmer dass Malware (wo auch immer die herkommen soll, das wäre mal interessant zu wissen!) meinen Benutzerordner manipulieren kann? Also wenn die nur die Programme ändern würde wäre ich ja fast froh..
Das Manipulieren von Zugriffsrechten an Programmen würde ich wirklich nur bedingt empfehlen, sonst kann es zu unerklärlichen Phänomenen führen, gerade wenn von den Entwicklern nicht „sauber“ gearbeitet wurde. Ich setze die Zugriffsrechte von Programmen auf den System-Images die ich „deploye“ immer auf root:admin 775, so ist die Funktionalität gewährt.
Übrigens ist erst seit 10.6 das write-bit von den von Apple mitgelieferten Programmen entfernt, iLife und iWork bieten weiterhin Mitgliedern der admin-Gruppe kompletten Zugriff.
Wenn überhaupt ist es ein Trojaner, aber keine Malware. Malware muss sich (wenn ich das richtig verstanden habe und sagt mir bitte wenn das nicht der Fall sein sollte) von alleine installieren und dann im hintergrund unbemerkt weiterlaufen. Da nur durch das Eingreifen des Admins etwas Installiert werden kann, handelt sich wenn überhaupt um einen Trojaner.
Ich bin mir bewusst, dass man sich auch als Mac-User im Internet nicht mehr gefahrlos bewegen kann. Aber Viren und Malware sind da raritäten, anders als Trojaner, welcher jeder unabsichtlich oder auch nicht dem System hinzufügen muss.
Sehe ich auch so, wäre eigentlich “richtiger” von einem Trojaner zu sprechen. Aber: Trojaner sind auch Schadsoftware, also in der Definition Malware enthalten.
Bleibt weiterhin die Frage was es bringen soll die Zugriffsrechte der Programme zu verändern – ist der Trojaner schon am laufen (selbst ohne Admin-Rechte) sind die persönlichen Daten so oder so gefährdet. Da braucht es auch keinen Root-Zugriff mehr um Schaden anzurichten.
Kann mir da jemand bitte mal den Vorteil erklären?
Das Rezept mit BatchMod funktioniert nur bedingt korrekt (analog Path Finder, hat ähnliche Funktion). Wenn ich die Rechte des Programms auf 755 setze und die enthaltenden Ordner und Dateien einschließe, werden auch die Dateien auf 755 umgeschossen. Dateien müssten m.E. auf 644 gesetzt werden.
BatchMod (und Path Finder) bräuchten hier ein Möglichkeit zur Differenzierung: Setze (enthaltene) Ordner auf xxx und Dateien auf yyy.
Wäre das ein Fall, für den man Hazel (oder Ordneraktionen) zur Automatisierung einsetzen könnte?
Vielen Dank für Eure zahlreichen Rückmeldungen! Christoph, liest Du mit?
Das Verhalten ist mir auch schon auf die Nerven gefallen…
Ich mache zwar dann und wann eine rekursive Benutzeränderung im Programmordner, um ggf. meinem Normaluser anheimgefallenen Schreibrechte zu moppsen, wenn ich mal zum Benutzerwechsel zu faul war. Allerdings kollidieren manche Programme mit fehlenden Schreibrechten, wenn sie (mehr oder weniger stille) Updates durchführen wollen.
z.B. lädt Acrobat (für PDF-Features, die die Vorschau nicht unterstüzt…) Updates im Hintergrund und fragt dann nur unter dem aktuellen, ob es das Update installieren soll — allerdings ohne ggf. einen (notwendigen) Benutzerwechsel abzufragen.
Ich benutze Macs jetzt schon seit 10+ Jahren, und natürlich raubt mir diese MacMacke nachts nicht den Schlaf. Ich selbst habs nicht “gefährlich” genannt, aber es ist eben auch keine Lapalie.
[Quote]Typischer Trade-off zwischen Sicherheit und Komfort[/Quote]
Absolut. Sehe ich auch so. Es muß nicht unbedingt ein Programm sein, das den Inhalt anderer Programme modifiziert. Sehr viele Angriffe laufen heute über den Browser. So könnte eine Sicherheitslücke, die zumindest das Ausführen von Code auf Benutzerlevel zulässt, die hier besprochene MacMacke ausnutzen. Solche Sicherheitslücken gab es bereits in Browsern und Programmen (z.B. Adobe).
Kann ja jeder selbst entscheiden, wie relevant das Problem für ihn ist.
Und natürlich betrifft das jeden Nutzer in unterschiedlichem Maße, je nach Nutzerverhalten. Wenn ich mit meinem Auto nur in der Spielstrasse rumfahre (egal, wie viele Jahre lang), ist die Wahrscheinlichkeit eher gering, jemals von einem LKW auf der Autobahn zusammengefaltet zu werden.
Zur vermeintlichen Do-It-Yourself-”Lösung”: Ich benutze Batchmod hier in erster Linie, um den Eigentümer eines Programms hin zu root (System) zu ändern. Dabei ändere ich dann die Zugriffsrechte für alle enthaltenen Dateien in dem Programmpaket. Und zwar – ganz genau – in 775 oder 755. Natürlich wäre eine mögliche Differenzierung nach Ordnern und Dateien schöner, aber solange das nicht geht und diese Prozedur keine Probleme macht, mache ichs so. Die Dateien in einem Programmpaket können m.E. nicht alle 644 haben (=Eigentümer read/write, Gruppe,Welt nur Read). Wie soll denn da eine Datei im Programmpaket ausgeführt werden? Dagegen haben Dateien, die eigentlich nur read brauchen mit mehr Zugriffsrechten (execute) offensichtlich kein Problem.
Ich selbst hatte mit diesem Prozedere, das sich viel komplizierter und aufwendiger anhört als es ist, bis jetzt noch keine Probleme. Vom Automatisieren würde ich in diesem Fall abraten. Zu den Ausnahmen: Bei Firefox habe ich die Rechte nicht geändert, da dies die programminterne Updatefunktion deaktiviert (und ich bin zu faul, um jeweils immer alles manuel upzudaten). Skype braucht auch Schreibrechte für sein Programmpaket. Sollte ein Programm den Eigentümerwechsel oder die neuen Zugriffsrechte nicht gut aufnehmen und Probleme machen, dann einfach das Programmpaket löschen und nochmal vom Image in den Programmordner droppen (geht wohl schneller, als die Rechte nochmals entspechend zu ändern).
Wie gesagt, diese Angelegenheit betrifft nur Programme, die ich selbst in den Programmordner ziehe. Alle Programme, die über den Mac OS X Installer oder eigene Installer (wie bei Adobe) installiert wurden, sind davon meines Wissens nicht betroffen. Deren Eigentümer ist bereits root (System). Also kein Grund zu Panik. Jeder wird schon selbst wissen, wie sehr er davon ggf. betroffen sein könnte.
Das gewünschte ginge im Terminal durchs wegnehmen des write-bits für die Gruppe:
chmod -R g-w /Pfad/zum/Ordner
Zu den pkg-Installern: die können auch Zugriffsrechte beliebig (auch falsch!) setzen; Adobe setzt Rechte von 444 bis 775, wichtig ist nur zu wissen das mit der nächsten Korrektur der Zugriffsrechte mittels Festplatten-Dienstprogramm die ganzen von Hand modifizierten Werte wieder zurückgesetzt werden (sofern der pkg-Hersteller alles richtig gemacht hat).
Ansonsten sehe ich immer noch nicht, in wiefern es für mich als Benutzer gefährlicher wird wenn ein Schad-Programm (über Browser- oder PDF-Exploit, was auch immer) zusätzlich Admin-Rechte bekommt; meine persönlichen Daten kann es ja auch lesen / ändern / löschen ohne Admin zu sein!
Asmus,
die pkg-Installer habe ich doch nur deshalb erwähnt, weil diese im Gegensatz zur Drag&Drop-Installation in der Regel nicht den aktuellen Benutzer als Eigentümer des Programmpakets einsetzen. Ist klar, daß sie alle möglichen Rechte vergeben können.
Übrigens meine ich mich zu erinnern, daß das Festplattendienstprogramm nur die Rechte der Dateien zurücksetzt, die mit dem Apple Mac OS X Installer installiert wurden. Betrifft dann also nicht Programme, die ihren eigenen Installer haben (z.B. Adobe). Aber ist, wie gesagt, hier ja auch nicht so wichtig.
In einer Sache liegt evt. ein Mißverständnis vor: Ein “Schadprogramm” erlangt ja bei der beschriebenen MacMacke keine Admin-Rechte, sondern könnte “irgendwas” in den entsprechenden Programmpaketen allein mit den Rechten des aktuellen Benutzers anstellen. Was das sein könnte, kann ich Dir nun auch nicht im Detail vorhersagen. Ist die Tür da ein wenig offen, weiß ich doch vorher nicht, wer da wie reinkommt und was er zu machen beabsichtigt. Ich selbst habe die Gefährlichkeit dieser MacMacke aus gutem Grund nicht selbst bewertet, da ich kein IT-Sicherheitsexperte bin. Allein der Unterschied beim Eigentümer zwischen (kleinen) Programmen, die per Installer oder aber per Drag&Drop installiert werden, hat mich aufhorchen lassen.
Abschließend, es ging hier doch letztlich eher darum, diese MacMacke mal bekannt zu machen, damit interessierte Leser überhaupt davon wissen. Was Du dann unternimmst oder eben nicht, bleibt ja Dir überlassen.
P.S.
Wenn es einem “Schadprogramm” wirklich gelänge, Admin-Rechte zu erlangen (ist bei dieser MacMacke nicht das Thema), dann wären die Autoren des “Programms” vielleicht noch nicht mal unbedingt primär an deinen persönlichen Daten interessiert, sondern würden z.B. vielleicht lieber deine DNS-Einstellungen ändern, um Website-Anfragen nach Paypal-, Ebay- und Online-Banking-Seiten auf Phishing-Websites umzuleiten. Aber lassen wirs mal gut sein. Ich danke dem Martin, daß er die Macke publiziert hat, sie ist nun bekannt und jeder kann jetzt selbst entscheiden, ob und was er unternehmen will oder eben nicht.