Gefälschte .pdf- oder .mp3-Files, Sicherheitsproblem

JochenN

Mitglied
Thread Starter
Mitglied seit
05.12.2002
Beiträge
1.453
Hallo,

in diversen Foren wird ja diskutiert, dass Files, sich als mp3 oder pdf-File "tarnen", in wirklich bösen Code enthalten können (bei mp3 files zB als Inhalt der ID3-Tags), der bei Doppelklick auf das getarnte File ausgeführt wird.

Ich bin vielleicht zu blöd, aber ich kann mir nicht recht vorstellen, wie das gehen soll. Also:

Wenn ein File zB die Endung .mp3 hat, wird es mit dem iTunes-Icon in Mail oder Entourage angezeigt. Wenn ich jetzt (dies ist eine Frage) darauf doppelklicke, leitet das Mailprogramm den Doppelklick an MacOS X weiter, wo dann iTunes angewiesen wird, zu starten und das mp3-File zu öffnen.

Mag ja sein, dass im ID3-Tag irgendein hässlicher Code drin steht, aber warum sollte iTunes das, was im ID3-Tag als Text steht, als Code betrachten oder gar ausführen??

Das gleiche gilt für pdf-Files: Da wird ja grundsätzlich (bei mir) Vorschau gestartet. und auch hier gilt: Warum sollte Vorschau irgendwelchen Code, der an einer versteckten stelle in das File eingebettet ist, einfach so ausführen?

Was anderes wäre es natürlich, wenn das File eigentlich "superfile.pdf.app" heißt, im Mailprogramm aber mit dem Namen und Icon von "superfile.pdf" angezeigt würde. Dann wäre das allerdings ein sehr leicht auszumerzender Fehler des Mail-Programms.

Für eine kurze Aufklärung wäre ich dankbar!
 

ctopfel2

Mitglied
Mitglied seit
29.07.2004
Beiträge
207
evtl hab ich das falsch verstanden, aber ist es nicht eine musik.mp3.app datei, welche mit einem mp3 icon versehen ist... ?
Denn dann kan das Programm seinen bösen Code ausführen und trotzdem ein mp3 öffnen.

so hab ich das verstanden.

man möge mich belehren.
 

wegus

Mitglied
Mitglied seit
13.09.2004
Beiträge
16.998
Ich kann mir das so nicht wirklich vorstellen (aber auch nicht wirklich ausschließen)! Der von Jochen geschilderte Mechanismus ist ein typischer Windows-Mechanismus. Anhand der letzten Dateiendung wird ein MIME-Type zugewiesen und dafür eine applikation gestartet oder es wird als Applikation interpretiert und selbst gestartet.

Nur: haben wir mit MacOS X ein UNIX, daß heißt es wird über Dateiflags entschieden ob die Datei (und von wem) ausgeführt werden kann. Zudem ist Apples-Dateisystem Kontextbezogen, daß heißt es wird zusätzlich im Dateisystem vermerkt um wen oder was es sich handelt und was mit der Datei geschieht. Dies ist meines Wissens nicht auf die Dateiendung reduziert. Eine potentielle Angriffsfläche hat dieser Mechanismus sicher, aber durch pures ändern des Dateinamens dürfte das nicht gehen!
 

JochenN

Mitglied
Thread Starter
Mitglied seit
05.12.2002
Beiträge
1.453
Lua schrieb:
Hier erklärt der "Entdecker" wie es funktionieren soll:
http://www.macguardians.de/fullstory.php?p=3428&c=1&bereich=2
Gruss,
Lua
Dieses interview hatte ich auch gelesen, aber genau das, was dort beschrieben ist, erscheint mir nicht plausibel:

"Bekommt man ihn per E-Mail, so sieht er aus wie ein ganz normales PDF-Dokument. Speichert man es ab und doppelklickt darauf, so öffnet sich auch tatsächlich ein PDF-Dokument mit dem Standard-PDF-Viewer, so dass der Benutzer keinen Verdacht schöpft." (...) Im Hintergrund läuft dann der böse Code ab.

Wenn die Datei in Wirklichkeit eine Applikation ist, sollte sie in Mail oder Entourage oder im Finder als solche angezeigt werden. Wenn es tatsächlich ein PDF ist, dürfte Vorschau oder Acrobat Reader den eingebetteten Code eigentlich gar nicht beachten oder ausführen.

Ich verstehe also immer noch nicht, wie es zum Ausführen von Code kommen kann.
 
Zuletzt bearbeitet von einem Moderator:

glotis

Mitglied
Mitglied seit
18.05.2004
Beiträge
554
Hi

du machst dir über den falschen Teil der Ausführungen Gedanken ;)
wichtig ist dabei:

Angelo Laub schrieb:
Mach Injection: Mit Mach Injection kann ich alles machen, was klassisch geht, nur kann ich dies auch zur Laufzeit tun. Das heißt, ich kann auf den Speicherbereich eines beliebigen anderen Programms zugreifen und zur Laufzeit beliebigen Code hineinschreiben und sogar aus der Ferne einen neuen Thread erzeugen, der den hinzugefügten Code ausführt. Das muss man sich erst einmal auf der Zunge zergehen lassen! Dabei kann man gar nicht oft genug betonen, dass dies alles zur Laufzeit möglich ist, also wenn das Programm schon längst läuft und seinen Dienst verrichtet. Das Programm selbst (und erst recht der User) merkt davon nichts.
Des Weiteren ist noch zu bemerken, dass all dies von außen zwanghaft geschieht und das Programm keine Chance hat, sich dagegen zu wehren.
In den Default-Einstellungen von OSX könnte der "böse" Code ganz ganz böse werden.