Schädliche Widgets?

[saarpreme]

Was? Steve Jobs liest hier nicht mehr mit?

Nö, gestern am Telefon hat er gesagt dass er jetzt nur noch auf heise.de surft

Übrigens, das Thema wird auch bei Apple sicherlich wahrgenommen, wir sind schließlich nicht die einzigen die das bemerkt haben.

 

[-Nuke-]

Damit können Widgets das gleiche, was auch Seiten im Internetbrowser können.

Hi.

Mal ne Frage.

Dashboard-Widgets erlauben es, Terminal-Befehle auszuführen. Apple liefert ein entsprechendes Widget bei den Dev-Tools gleich mit.

Ist da generell nicht die Gefahr groß, das ein Widget mal eben "rm -rf $HOME" macht?

Klar, ein Virus/Trojaner/etc. kann das Widget nicht enthalten, aber es kann es sich doch locker runter laden und irgendwo hin kopieren, oder nicht?

Das würde mich mal Interessieren. Oder sind Dateioperationen mit Widgets geblockt?

 

[MacTuX]

Also ich hatte das "Sichere" Dateien nach dem Laden öffnen sowieso schon immer aus, hab es jetzt aber mal zu Testzwecken angemacht. Bei mir wird die Datei zwar in ~/Library/Widgets/ kopiert, aber nicht ausgeführt, also automatisch ins aktive Dashboard übernommen. Widgets, die ja unten in der Leiste liegen laufen ja nicht. Ich wäre schon sehr vorsichtig, wenn auf einmal da ein Widget auftauchen würde, was ich nicht selber installiert haben.

Gut ist das sicher nicht, aber gaaanz so schlimm, wie einige hier vermuten (Keylogging, etc) ist es dann wohl doch nicht. Es sei denn natürlich man führt einfach jedes Programm aus.

Grüße Markus

 

[benjii]

Tut mir Leid - aber ich verstehe das Problem nicht. Es ist doch so: Bei jedem Download eines Files kannst du hereingelegt werden, ob Widget oder nicht. Wenn es dem File - oder sogar nur einem Link - gelingt, dich (oder Safari, bei aktiviertem "Häkchen") von seiner Seriosität zu überzeugen, steht dem doch ebenso viel offen wie einem Widget.

Extrem kritisch sind da meiner Meinung nach Files aus Tauschbörsen: Was da heruntergeladen wird, wird doch oft sofort auf Teufel komm raus installiert - es wäre ein Leichtes, so Malware auf Macs zu bekommen.

 

[Lynhirr]

Extrem kritisch sind da meiner Meinung nach Files aus Tauschbörsen: Was da heruntergeladen wird, wird doch oft sofort auf Teufel komm raus installiert - es wäre ein Leichtes, so Malware auf Macs zu bekommen.

So erlebt bei der Tochter eines Freundes. Da war dann das Homeverzeichnis wohl gelöscht.

 

[CapFuture]

Widgets sind nichts anderes, als Internet-Seiten, nur anders aufbereitet. Widgets sind keine ausführbaren Programme. Damit können Widgets das gleiche, was auch Seiten im Internetbrowser können.
Die Gefahr durch ein installiertes Widgets ist genauso groß, wie die beim Anklicken eines Links in Safari.

P.S. @ Brandhoff
Auch das Rechner-Widget läuft genauso in Safari, wie in Dashboard.

Stimmt nur zum Teil, da man über Cocoa Plugins dem Widget mehr Möglichkeiten geben kann, was die Fähigkeiten einer Webseite doch übersteigen...

 

[bonehammer]

Tut mir Leid - aber ich verstehe das Problem nicht. Es ist doch so: Bei jedem Download eines Files kannst du hereingelegt werden, ob Widget oder nicht. Wenn es dem File - oder sogar nur einem Link - gelingt, dich (oder Safari, bei aktiviertem "Häkchen") von seiner Seriosität zu überzeugen, steht dem doch ebenso viel offen wie einem Widget.

Ich kann mich da nur anschliessen!! Wenn ich mir ein Widget runterlade und es installiere geht davon die gleiche Gefahr aus, als würde ich z.B. irgendeine Freeware von Versiontracker runter laden. Es ist jedem Nutzer selbst überlassen, wie sicher sein Computer ist...! Jedes Programm kann ein Trojaner sein!
Zum Thema Javascript: sucht mal bei Google nach den deadliest (oder so) javascripts, die will ich in keinem Widget sehen!

 

[blipper]

so aus Neugierde... würde mal ein versierter User ein böswilliges Widget schreiben und an sich selbst ausprobieren? (zB nur die datei "blabla" auf dem Desktop löschen. Wenn das geht, dann geht sicherlich auch mehr...). Damit wäre glaube ich mehr bewiesen als alle Diskussionen und Spekulationen rund um das Thema. Grau ist bekanntlich alle Theorie, wenn jemand so etwas schreiben könnte, wäre die Schädlichkeit von Widgets bewiesen.

 

[abgemeldeter Benutzer]

Stimmt nur zum Teil, da man über Cocoa Plugins dem Widget mehr Möglichkeiten geben kann, was die Fähigkeiten einer Webseite doch übersteigen...

Sicher, Widgets mit Plugins werden aber nicht ohne Abfrage installiert.

 

[Brandhoff]

In dem Zusammenhang vielleicht interessant:

True, but widgets can run external programs if certain permissions are set. The most insane part is that the widget itself sets the permissions it's allowed to have. Putting a key in the Info.plist file with "AllowFullAccess" set to "Yes" will allow the widget to run anything, access the network, etc. Basically at that point it's a full featured app. How hard would it be to make a widget that's invisible but periodically queries Safari's browser history, or songs played in itunes, or do a spotlight search for "password" and email the results to some guy in Russia? The widget could even be invisible to the user, with a 1x1 transparent gif as it's screen.

Safari will warn you when downloading a widget with cocoa calls in it by saying "widgetname contains an application. Are you sure you want to continue downloading widgetname?". You have the option to abort download and installation.

Yes, but you won't get that prompt for a widget that doesn't have Cocoa code, but does contain widget.System() calls -- which effectively means it's an application. You could put an executable in your widget, not set the executable bit, but then chmod a+x and run it from widget.System() calls.

Dashboard will ask you the first time a third-party widget is run and give you the option of not running it.

It's so bizarre I didn't believe myself at first, but this is not true of widgets that are auto-installed. Try it yourself -- here is my example exploit page [columbia.edu] with an entire set of widgets that look identical to the Apple widgets. You will be prompted for permission with none of them, including the `Calculator' widget, which makes a widget.System() call and could conceivably have deleted your home directory.

Der Link in dem Zitat geht auf ein "zahme" Seite, die eigentliche Exploit-Seite ist darin gesondert verlinkt. Trotzdem: Klicken auf eigene Gefahr!

Der Punkt ist doch, daß der Entwickler die Freiheit hat, seine Widgets weit über die eigentlich sichere Dashboard- oder Browser-Sandbox hinaus laufen zu lassen. Bis auf weiteres würde ich sehr genau prüfen, wo und welche Widgets ich mir auf den Rechner hole und bei einem Paßwort-Promt das Teil sofort von der Platte treten.

 

[morten]

...und bei einem Paßwort-Promt das Teil sofort von der Platte treten.

Genau meine Rede

Und das schon seit #35

Was für ein aufgescheuchter Hühnerhaufen! rotfl

 

[abgemeldeter Benutzer]

@ Brandhoff (Post #50)

Da hat tatsächlich jemand eine Sicherheitslücke entdeckt.

Das geänderte Calculator-Widget wird ohne Prompt geladen und ausgeführt und greift über Javascript auf ein Kommandozeilenprogramm zu. Eigentlich dürfte das so nicht funktionieren. Das Dashboard-Sicherheitssystem müsste eigentlich eine Passwortabfrage machen, tut es aber aus unerfindlichen Gründen nicht.

 

[schildkroeter]

Das Problem ist einfach, das ein Mac-User bei Sicherheitsluecken gleich in Panik geraten. Einem Windows-User koennte das nicht passieren


jk,
Jon

 

[-Nuke-]

Das Problem ist einfach, das ein Mac-User bei Sicherheitsluecken gleich in Panik geraten. Einem Windows-User koennte das nicht passieren

Windows-User sind es auch gewohnt, das fast jede Woche ein Patch kommt, der Sicherheitslücken mit ähnlichen Wirkungen behebt.

Nur da juckt es keine Sau mehr und es kommt nicht für jeden Patch eine dicke Newsmeldung.

Bei OS X ist das (noch) anders.

 

[pique]

Ich schalte meinen Rechner sicherheitshalber gar nicht mehr ein..

 

[Lynhirr]

Kann ich ihn haben?

 

[Artaxx]

Kann ich ihn haben?

Nein, ich, ich, ich will ihn haben. Hier: ICH

Also mich juckt die ganze Widget Geschichte nicht besonders, ganz ehrlich.