sicher auch für andere hier interessant:



Mir war ehrlich gesagt auch noch nicht bewusst, dass das tatsächlich ohne vorherige "Erlaubnis" durch den User (oder noch besser: ausschließlich durch einen administrativen User) überhaupt möglich ist.

"it just works".
Grosser Mist!

Marcel_75@work

Immer wieder wenn solche, eigentlich sehr interessanten und wichtigen, Informationen hier gepostet werden, dann merkt man an der Vielzahl der Antworten, wie wichtig das Thema Sicherheit offensichtlich den meisten Benutzern ist.

Interessanterweise hat das Thema hier in Frankreich, obwohl man hier eigentlich mit Datenschutz deutlich weniger „belastet“ wird, mehr Wellen geschlagen.

😎😎

Hat evtl. was mit Bildung zu tun. Ich würde das in unserem Zeitalter fast als Allgemeinbildung einstufen.
Da ist aber nicht viel, Fehlanzeige. Selbst die früher mal in diesem Sinne Bürgerrechte vertretende FDP hat sich das Thema seit Jahren abgeschminkt. Snowden, war da mal was?

Die Beschreibung, die @@Marcel_75@work gepostet hat, kratzt sehr an der Oberfläche - eigentlich ist das Problem ein viel viel tieferes: GPUs unterstützten keinen Speicherschutz und sind nicht darauf ausgelegt, die Daten, die im VRAM stehen, zu schützen (Interessante, allerdings vier Jahre alte Arbeit zu dem Thema: ). Das bedeutet, dass mit Tricks jeder Prozess den aktuellen Inhalt oder Daten von vorherigen Prozessen mehr oder minder verlässlich auslesen kann.

Jede vorgeschaltete Sicherheit, wie sandbox-entitlements, würden das Problem nicht beheben, da macOS (und auch andere Systeme) das Lesen aus dem VRAM nicht so unterbinden kann, wie es das Schreiben und Lesen im Hauptspeicher unterbinden kann.

Manchmal kann man dieses Problem sogar ohne zutun in Systemen bewundern: wenn es Probleme mit dem Grafikkartentreiber gibt, der Window Manager abraucht oder ähnliches, sieht man manchmal in den "zerstörten" Bereichen Inhalte von Fenstern oder des Bildschirms, der schon lange nicht mehr aktuell ist.

Ohne das runterspielen zu wollen ist das doch aber nichts neues oder verwunderliches?

Eine Anwendung läuft auf dem Computer. Diese Anwendung kann natürlich Dinge auf dem Bildschirm darstellen und hat dafür Zugriff auf den Bildschirm. Natürlich kann eine Anwendung auch einen Screenshot anfertigen (der z.B. für Animationen beim Ausblenden/Einblenden der Anwendung oder für Übergänge zwischen Fenstern/Controls genutzt werden kann).

Ein Entwickler mit bösen Hintergedanken kann also - seit jeher, ich behaupte mal auf jedem System - sekündlich Screenshots anfertigen und im Hintergrund analysieren.

Der Bericht ist also eigentlich eher ein: "Schau mal, was man alles tun kann, wenn man böse ist und es auf den Rechner eines Users schafft".

Nur mal ein Tipp: Anwendungen können auch lesend und schreibend auf die HDD/SSD zugreifen und zwar auf jedes angeschlossene Laufwerk und jedes gemountete Volume. Unglaublich, was ein Programm alles anstellen könnte... soll ich mal ein "Proof of Concept" schreiben?

Es ist also eher eine generelle Frage, welche Anwendungen wir installieren, woher wir diese laden/bekommen und welchen Entwicklern wir vertrauen.

War ja neulich im 10.13.4 beta 1 (und 1. beta 2) zu "bewundern", da spielte wohl der auf Metal optimierte Treiber für die Anzeige von Bildern total verrückt - mit genau diesen Artefakten aus anderen Programmen, teilweise überdauerten die sogar Neustarts des Rechners...

...deshalb ist es ja seit einiger Zeit verpöhnt ("PFUI, extra!"), Programme so zu schreiben, dass deren User-Credentials irgendwo in Dateien auf Platte abgespeichert werden. Genau dafür ist es state-of-the-art, mit Hash Tabellen stattdessen zu arbeiten, aus denen sich nicht Passworte o.ä. zurückgewinnen lassen. Nur ist das natürlich Essig, wenn man über das VRAM drankommen kann.
Think different.

Vielleicht hat es auch etwas damit zu tun, daß man, wenn man auf derlei aufmerksam macht, von den "post privacy-Spacken" gern als Aluhutträger diskreditiert wird. Im Zeitalter von Facebook und Whatsapp ist es bei breiten Bevölkerungsschichten einfach nicht modern, Bedenken hinsichtlich mißbräuchlicher Datennutzung zu äußern.

Ein anderer Erklärungsversuch mag sein, daß gerade durch die von Edward Snowden öffentlich gemachten Überwachungsmaßnahmen der Geheimdienste eine gewisse Resignation einsetzt. "Wird eh alles überwacht, kann man nichts machen". Das ist meines Erachtens noch viel gefährlicher als Unwissenheit - man gewöhnt sich an die Schmerzen.

Oder auch das berühmte:
"Was soll das, ich habe nichts zu verbergen. Ich bin so unwichtig, meine Daten interessieren niemanden."
Bekomme ich in den entsprechenden Diskussionen hier in Frankreich ( Facebook-Land) immer wieder zu hören.

Oh, es gibt auch stille Mitleser, die wie ich z.B. nicht viel Konstruktives zur Problematik beitragen können und sich deshalb lieber zurückhalten. Interessant und wichtig finde ich es aber dennoch zu wissen, was so alles hinter meinem User-Rücken möglich ist!

Aber in diesem Zusammenhang vielleicht trotzdem mal eine (laienhafte) Frage:
Ist es nicht so, dass letztlich sämtliche Angriffe auf Rechner — egal welche Schwachstelle ausgenutzt wird — immer nur funktionieren, weil dem Angreifer ein Rückkanal zur Verfügung steht, um die erbeuteten Daten abzurufen?

Wäre es nicht sinnvoll, wenn grundsätzlich erst einmal allen Apps/Programmen der Rückkanal zum Entwickler vom OS versperrt und ggf. nur selektiv und durch den Benutzer genehmigt freigegeben würde. Im Prinzip das, was z.B. Little Snitch macht — nur grundsätzlich im Design des OS angelegt.

Ich gehe mal davon aus, dass die allermeisten Anwendungsprogramme so eine "Nach Hause telefonieren"-Funktion nicht wirklich benötigen um ihren Zweck zu erfüllen. Außer dem OS selbst, dem Browser und dem Mail-Programm fällt mir auf meinem Rechner jetzt keine Anwendungssoftware ein, die zwingend Daten zurück in Internet geben müsste, um zu funktionieren. Auch Adobe könnte ganz sicher andere Wege finden, wenn die bisherigen vom OS verbaut würden, um z.B. die Gültigkeit von CC-Abos zu checken.

chessboard: Stimmt genau. Und genau das, was Du vorschlägst, gibt es schon. Firewall. Da kannst Du genau einstellen, welche Ports von welchen Quellen zu welchen Zielen frei sind und welche eben nicht.
Es gibt Programme wie LittleSnitch und andere, die den User auf neue Verbindungen hinweisen.

Das Problem daran: Das kann sehr schnell extrem lästig werden.

Oder anders: Je sicherer, desto unbequemer oder eingeschränkter. Je einfacher und bequemer, desto unsicherer.

Ich weiß auch nicht, was hier über VRAM etc. geschrieben wird. Da muss ich als Entwickler überhaupt nichts von wissen. Einen Screenshot - komplett oder von Teilen - bekommt man doch nun wirklich mit ganz normalen Funktionen. Schon immer, seit es diese grafischen Betriebssysteme gibt. Unter DOS ging das auch schon, musste man da aber tatsächlich selber programmieren (gab aber fertige Routinen in Assembler wenn es schnell gehen sollte)

Natürlich musst du davon wissen Zwar sind die High-Level-Methoden, um so etwas zu erreichen, nett - musst du aber optimieren, hilft es dir SEHR, zu wissen, was dahinter passiert. Außerdem geht es ja nicht darum, wie man möglichst gut als normaler Entwickler an die Daten kommt - es geht darum, wie Hacker Daten auslesen können, die sie nicht auslesen sollten, da sensible Daten darin enthalten sind. Und selbst wenn man die High-Level-Methoden mit Mechanismen blockiert wie z.B. Sandbox-Entitlements, haben Hacker immer noch die Möglichkeit, durch o.g. Tricks auf das VRAM zuzugreifen, um das selbe Resultat zu erzielen.

Prinzipiell ist das so, aber dieser "Rückkanal" kann leider auf verschiedenste Weise aufgebaut werden. Da hilft auch eine Firewall nichts, nicht einmal wenn man mehr als das Stück Software auf dem Rechner, das ein- und/oder ausgehende Verbindungen unterbindet, darunter versteht.

Zum Beispiel kann Information aus Deinem Datenbestand vollkommen problemlos in Requests versteckt werden, die Dein Browser zu einer Webseite überträgt, die Du ansteuerst. Was soll eine Firewall in dem Fall tun? Verbindungen von Deinem Browser auf den HTTPS-Port der Zielwebseite blockieren ist ja nun nicht so der Bringer. Um sowas zu unterbinden, müßte man schon tief in die Verbindung eingreifen, und dann wird es auch schnell recht anspruchsvoll.

Selbst eine so einfach gestrickte (und, wie gerade gezeigt, gegen gezielte Angriffe nicht unbedingt hilfreiche) "Firewall" kann schon recht pflegeintensiv sein. Wenn man dann in die effektiveren Regionen vordringt (z.B. Application Layer-Firewalls), ist mit regulärem Anwenderwissen nicht mehr viel zu reißen.

Was viel eher hilft als solche technischen Lösungen ist gesunder Menschenverstand. Nicht jeden Mist installieren, nicht jedem Trend hinterherlaufen und nicht jede vermeintliche Bequemlichkeitsverbesserung unhinterfragt annehmen. Darauf achten, nicht jede mehr oder weniger zwielichtige Webseite unbedingt sehen zu müssen. JavaScript hat eine lange Entwicklung hinter sich und kann inzwischen (fast) alles, was eine reguläre Applikation auch kann - und das ist nicht nur positiv. Angriffe über JavaScript, das von Webseiten nachgeladen wird (auch gern in Form von Werbung) sind bekannt und nicht harmlos. Sandboxing kann helfen, ist aber auch kein Allheilmittel dagegen, zumal wenn Sicherheitslücken den Effekt aushebeln.

Ich will Tools wie Little Snitch nicht kleinreden - ich setze es selbst ein, und es hat durchaus seine Daseinsberechtigung, wenn man so einigermaßen weiß, was man tut. Allheilmittel des rundum-sorglos-Kalibers sind sie nicht und können sie nicht sein.

Naja, ich sehe das ganze letztlich pragmatisch aus der Sicht eines Admins, der eben sicherstellen können möchte, dass bestimmte Dinge nicht so einfach bei "verwalteten User-Acccounts" (also ohne administrative Rechte) möglich sind.

D.h., aus Admin-Sicht erwarte ich, dass Apps eine solche Funktion erst genehmigt bekommen müssen - gern natürlich granular steuerbar über MDM-Profile. Logo – aktuell ist das noch Zukunftsmusik, aber Apple sollte solche Szenarios aus meiner Sicht einfach auch auf dem Schirm haben!

Präzise ausgedrückt: Es darf nicht sein, dass eine App ohne Genehmigung den Inhalt des gesamten Bildschirms auslesen darf, sie sollte grundsätzlich erst einmal ausschließlich Zugriff auf ihre eigenen GUI-Bestandteile haben, und eben nicht auf fremde ...

Also so wie Apple z.B. auch den Zugriff auf die Kontakte und den Kalender durch Dritt-Applikationen einschränkt (es kommt mindestens eine einmalige Abfrage, die man dann auch explizit bestätigen muss) - erst dann wird dies als "genehmigt" durch den User eingestuft und ermöglicht.

Oder vielleicht ein passenderer Vergleich: Wie die neuerlichen Genehmigungen für Apple-fremde Kernel-Extensions in den Sicherheitseinstellungen der Systemeinstellungen.

Mag sein, dass eine der Voraussetzungen dafür auch neuere GPUs bzw. moderneres GPU-RAM ist – aber in 20 oder 30 Jahren wird man sich wahrscheinlich an den Kopf fassen *facepalm*, wenn man liest, das damals (sprich: heute) eine App ohne Schnörkel einfach alles abgreifen durfte, was dem User auf dem Screen präsentiert wird.

Mittlerweile ist es zumindest auch bei Mac & i ein Thema:

Daß ein Programm Screenshots anfertigt, finde ich jetzt nicht schlimm.
Erst wenn sie diese irgendwohin schickt…
Das müsste man aber doch, auch wenn sich das "screenshoten" nicht verhindern lässt, unterbinden können.
Will sagen: das Bildschirminhalt-Auslesen ist doch gar nicht das, was uns Sorge machen sollte, sondern was so unter der Hand weitergegeben wird. Oder zumindest werden kann.

Und wiedereinmal stellt beim Thema Rückkanal niemand die Frage, was die intel ME* eigentlich in der Lage ist, völlig ungehindert und schlimmer: unbemerkt zu tun.

* Management Engine, eine zweite CPU mit eigenem RTOS, die mit auf dem Prozessor integriert ist. Kann auf alle Bereiche des Systems zugreifen (RAM, Busse, Peripherie - auch Netzwerk, Festplatten etc.), ohne dass das eigentliche OS (Linux, Win, macOS, you name it) irgendetwas davon mitbekommt, ja mitbekommen könnte. Der feuchte Traum der NSA. Und darüberhinaus in deren Behörden-Rechnern abgeschaltet.

Da braucht es wirklich keine lächerlichen Back-Doors a la OpenSSH oder fake Zufallsgeneratoren. Kommt mir eher vor wie Ablenkungsmanöver...
Die Kleinkriminellen freut es aber, dass es diese Sicherheitsrisiko-Peanuts gibt. Wortwahl hat nichts mit den anderen Ganoven der dt. Bank zu tun. Oder vlt. doch...