Gefälschte .pdf- oder .mp3-Files, Sicherheitsproblem

Dieses Thema im Forum "Sicherheit" wurde erstellt von JochenN, 14.01.2005.

  1. JochenN

    JochenN Thread Starter MacUser Mitglied

    Beiträge:
    1.358
    Zustimmungen:
    42
    MacUser seit:
    05.12.2002
    Hallo,

    in diversen Foren wird ja diskutiert, dass Files, sich als mp3 oder pdf-File "tarnen", in wirklich bösen Code enthalten können (bei mp3 files zB als Inhalt der ID3-Tags), der bei Doppelklick auf das getarnte File ausgeführt wird.

    Ich bin vielleicht zu blöd, aber ich kann mir nicht recht vorstellen, wie das gehen soll. Also:

    Wenn ein File zB die Endung .mp3 hat, wird es mit dem iTunes-Icon in Mail oder Entourage angezeigt. Wenn ich jetzt (dies ist eine Frage) darauf doppelklicke, leitet das Mailprogramm den Doppelklick an MacOS X weiter, wo dann iTunes angewiesen wird, zu starten und das mp3-File zu öffnen.

    Mag ja sein, dass im ID3-Tag irgendein hässlicher Code drin steht, aber warum sollte iTunes das, was im ID3-Tag als Text steht, als Code betrachten oder gar ausführen??

    Das gleiche gilt für pdf-Files: Da wird ja grundsätzlich (bei mir) Vorschau gestartet. und auch hier gilt: Warum sollte Vorschau irgendwelchen Code, der an einer versteckten stelle in das File eingebettet ist, einfach so ausführen?

    Was anderes wäre es natürlich, wenn das File eigentlich "superfile.pdf.app" heißt, im Mailprogramm aber mit dem Namen und Icon von "superfile.pdf" angezeigt würde. Dann wäre das allerdings ein sehr leicht auszumerzender Fehler des Mail-Programms.

    Für eine kurze Aufklärung wäre ich dankbar!
     
  2. Lua

    Lua MacUser Mitglied

    Beiträge:
    3.119
    Zustimmungen:
    22
    MacUser seit:
    27.05.2004
    Hier erklärt der "Entdecker" wie es funktionieren soll:
    http://www.macguardians.de/fullstory.php?p=3428&c=1&bereich=2
    Gruss,
    Lua
     
    Zuletzt von einem Moderator bearbeitet: 31.10.2015
  3. ctopfel2

    ctopfel2 MacUser Mitglied

    Beiträge:
    206
    Zustimmungen:
    6
    MacUser seit:
    29.07.2004
    evtl hab ich das falsch verstanden, aber ist es nicht eine musik.mp3.app datei, welche mit einem mp3 icon versehen ist... ?
    Denn dann kan das Programm seinen bösen Code ausführen und trotzdem ein mp3 öffnen.

    so hab ich das verstanden.

    man möge mich belehren.
     
  4. wegus

    wegus MacUser Mitglied

    Beiträge:
    15.040
    Zustimmungen:
    1.316
    MacUser seit:
    13.09.2004
    Ich kann mir das so nicht wirklich vorstellen (aber auch nicht wirklich ausschließen)! Der von Jochen geschilderte Mechanismus ist ein typischer Windows-Mechanismus. Anhand der letzten Dateiendung wird ein MIME-Type zugewiesen und dafür eine applikation gestartet oder es wird als Applikation interpretiert und selbst gestartet.

    Nur: haben wir mit MacOS X ein UNIX, daß heißt es wird über Dateiflags entschieden ob die Datei (und von wem) ausgeführt werden kann. Zudem ist Apples-Dateisystem Kontextbezogen, daß heißt es wird zusätzlich im Dateisystem vermerkt um wen oder was es sich handelt und was mit der Datei geschieht. Dies ist meines Wissens nicht auf die Dateiendung reduziert. Eine potentielle Angriffsfläche hat dieser Mechanismus sicher, aber durch pures ändern des Dateinamens dürfte das nicht gehen!
     
  5. JochenN

    JochenN Thread Starter MacUser Mitglied

    Beiträge:
    1.358
    Zustimmungen:
    42
    MacUser seit:
    05.12.2002
    Dieses interview hatte ich auch gelesen, aber genau das, was dort beschrieben ist, erscheint mir nicht plausibel:

    "Bekommt man ihn per E-Mail, so sieht er aus wie ein ganz normales PDF-Dokument. Speichert man es ab und doppelklickt darauf, so öffnet sich auch tatsächlich ein PDF-Dokument mit dem Standard-PDF-Viewer, so dass der Benutzer keinen Verdacht schöpft." (...) Im Hintergrund läuft dann der böse Code ab.

    Wenn die Datei in Wirklichkeit eine Applikation ist, sollte sie in Mail oder Entourage oder im Finder als solche angezeigt werden. Wenn es tatsächlich ein PDF ist, dürfte Vorschau oder Acrobat Reader den eingebetteten Code eigentlich gar nicht beachten oder ausführen.

    Ich verstehe also immer noch nicht, wie es zum Ausführen von Code kommen kann.
     
    Zuletzt von einem Moderator bearbeitet: 31.10.2015
  6. glotis

    glotis MacUser Mitglied

    Beiträge:
    553
    Zustimmungen:
    7
    MacUser seit:
    18.05.2004
    Hi

    du machst dir über den falschen Teil der Ausführungen Gedanken ;)
    wichtig ist dabei:

    In den Default-Einstellungen von OSX könnte der "böse" Code ganz ganz böse werden.
     
Die Seite wird geladen...

Diese Seite empfehlen