Diskutiere Gefälschte .pdf- oder .mp3-Files, Sicherheitsproblem im Sicherheit Forum

  1. JochenN

    JochenN Thread Starter Mitglied

    Beiträge:
    1.410
    Zustimmungen:
    46
    Mitglied seit:
    05.12.2002
    Hallo,

    in diversen Foren wird ja diskutiert, dass Files, sich als mp3 oder pdf-File "tarnen", in wirklich bösen Code enthalten können (bei mp3 files zB als Inhalt der ID3-Tags), der bei Doppelklick auf das getarnte File ausgeführt wird.

    Ich bin vielleicht zu blöd, aber ich kann mir nicht recht vorstellen, wie das gehen soll. Also:

    Wenn ein File zB die Endung .mp3 hat, wird es mit dem iTunes-Icon in Mail oder Entourage angezeigt. Wenn ich jetzt (dies ist eine Frage) darauf doppelklicke, leitet das Mailprogramm den Doppelklick an MacOS X weiter, wo dann iTunes angewiesen wird, zu starten und das mp3-File zu öffnen.

    Mag ja sein, dass im ID3-Tag irgendein hässlicher Code drin steht, aber warum sollte iTunes das, was im ID3-Tag als Text steht, als Code betrachten oder gar ausführen??

    Das gleiche gilt für pdf-Files: Da wird ja grundsätzlich (bei mir) Vorschau gestartet. und auch hier gilt: Warum sollte Vorschau irgendwelchen Code, der an einer versteckten stelle in das File eingebettet ist, einfach so ausführen?

    Was anderes wäre es natürlich, wenn das File eigentlich "superfile.pdf.app" heißt, im Mailprogramm aber mit dem Namen und Icon von "superfile.pdf" angezeigt würde. Dann wäre das allerdings ein sehr leicht auszumerzender Fehler des Mail-Programms.

    Für eine kurze Aufklärung wäre ich dankbar!
     
  2. Lua

    Lua Mitglied

    Beiträge:
    3.125
    Zustimmungen:
    22
    Mitglied seit:
    27.05.2004
  3. ctopfel2

    ctopfel2 Mitglied

    Beiträge:
    206
    Zustimmungen:
    6
    Mitglied seit:
    29.07.2004
    evtl hab ich das falsch verstanden, aber ist es nicht eine musik.mp3.app datei, welche mit einem mp3 icon versehen ist... ?
    Denn dann kan das Programm seinen bösen Code ausführen und trotzdem ein mp3 öffnen.

    so hab ich das verstanden.

    man möge mich belehren.
     
  4. wegus

    wegus Mitglied

    Beiträge:
    15.916
    Zustimmungen:
    2.476
    Mitglied seit:
    13.09.2004
    Ich kann mir das so nicht wirklich vorstellen (aber auch nicht wirklich ausschließen)! Der von Jochen geschilderte Mechanismus ist ein typischer Windows-Mechanismus. Anhand der letzten Dateiendung wird ein MIME-Type zugewiesen und dafür eine applikation gestartet oder es wird als Applikation interpretiert und selbst gestartet.

    Nur: haben wir mit MacOS X ein UNIX, daß heißt es wird über Dateiflags entschieden ob die Datei (und von wem) ausgeführt werden kann. Zudem ist Apples-Dateisystem Kontextbezogen, daß heißt es wird zusätzlich im Dateisystem vermerkt um wen oder was es sich handelt und was mit der Datei geschieht. Dies ist meines Wissens nicht auf die Dateiendung reduziert. Eine potentielle Angriffsfläche hat dieser Mechanismus sicher, aber durch pures ändern des Dateinamens dürfte das nicht gehen!
     
  5. JochenN

    JochenN Thread Starter Mitglied

    Beiträge:
    1.410
    Zustimmungen:
    46
    Mitglied seit:
    05.12.2002
    Dieses interview hatte ich auch gelesen, aber genau das, was dort beschrieben ist, erscheint mir nicht plausibel:

    "Bekommt man ihn per E-Mail, so sieht er aus wie ein ganz normales PDF-Dokument. Speichert man es ab und doppelklickt darauf, so öffnet sich auch tatsächlich ein PDF-Dokument mit dem Standard-PDF-Viewer, so dass der Benutzer keinen Verdacht schöpft." (...) Im Hintergrund läuft dann der böse Code ab.

    Wenn die Datei in Wirklichkeit eine Applikation ist, sollte sie in Mail oder Entourage oder im Finder als solche angezeigt werden. Wenn es tatsächlich ein PDF ist, dürfte Vorschau oder Acrobat Reader den eingebetteten Code eigentlich gar nicht beachten oder ausführen.

    Ich verstehe also immer noch nicht, wie es zum Ausführen von Code kommen kann.
     
  6. glotis

    glotis Mitglied

    Beiträge:
    553
    Zustimmungen:
    7
    Mitglied seit:
    18.05.2004
    Hi

    du machst dir über den falschen Teil der Ausführungen Gedanken ;)
    wichtig ist dabei:

    In den Default-Einstellungen von OSX könnte der "böse" Code ganz ganz böse werden.
     
Die Seite wird geladen...
Ähnliche Themen - Gefälschte Files Sicherheitsproblem Forum Datum
Sensible Daten kopieren, temp-files? Sicherheit 09.12.2016
Sicherheitsproblem in Safari? Wie bekomme ich das hier weg? Sicherheit 08.11.2013
ClamXav zeigt mir bei verseuchte Files an! Sicherheit 17.04.2012
Time machine files Sicherheit 15.02.2012
TrueCrypt: problem with large files on outer volume Sicherheit 11.06.2011
Excel/Numbers files vor Fremdzugriffen schützen Sicherheit 22.04.2011
Sicherheitsproblem iTunes Sicherheit 23.08.2010
Sicherheitsproblem mit Safari Sicherheit 08.11.2008
Leopard-Screen Sharing/Back to my Mac mit Sicherheitsproblem Sicherheit 27.10.2007

MacUser.de weiterempfehlen

  1. Diese Seite verwendet Cookies. Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.