Zuletzt aktualisiert am 21. September 2020 durch kisser
Da habe ich doch heute den lesenswerten Artikel über Flashback gelesen
Eine Quintessenz daraus:
Ein Problem, das Mac OS X vor Lion angreifbar machte, ist auch, dass die Nutzer standardmäßig mit Admin-Rechten arbeiten. Sicherer wäre es, normalerweise mit einfachen Benutzerrechten eingeloggt zu sein und nur für Wartungsaufgaben den Namen und das Passwort des Administrators einzugeben. Wie der Entwickler Marcel Bresink ausführt, lag die größte Gefahr beim Arbeiten mit einem Admin-Account seinerzeit darin, dass der Benutzer und die vom ihm gestarteten Programme das Recht hatten, systemweite Einstellungen oder installierte Programme zu ändern. Diese Gefahr besteht ab Lion nicht mehr, da Administratoren nicht mehr das Recht haben, in die rechnerbezogene Library, in vorinstallierte Programme, in aus dem App Store installierte Programme, in/Applications/Utilities oder in den obersten Ordner der Systemplatte zu schreiben. Dieses Recht kann nur kurzzeitig und vorübergehend durch zusätzliche Eingabe eines Administratorkennworts erlangt werden.
Wie ich ja immer sagte: Man arbeitet nicht mit “root”, wenn auch ein Admin-Account unter OS X lediglich u.a. der Gruppe wheel angehörig ist, was aber an sich schon derart reich an Rechten ist, dass man das besser lassen sollte, denn unter OS X geht das – im Gegensatz zu den meisten WinDoof-Derivaten sehr gut mit eingeschränkten Rechten!
Ansonsten:
Unauffällig war Flashback trotzdem nicht. Die Infektionen flogen nicht nur durch Warn-Meldungen von Netzwerkmonitoren wie Little Snitch auf. Viel auffälliger war, dass beim Injizieren der Payload-Libraries reihenweise Anwendungen abschmierten und in ihren Log-Dateien Meldungen wie “dyld: could not load inserted library: /User/Shared/.libgmalloc.dylib” hinterließen. Eine echte libgmalloc.dylib gibt es zwar tatsächlich, aber ohne den führenden Punkt, im SDK von Xcode. Die Abstürze betrafen einerseits PPC-Programme, die die injizierten Intel-Libraries nicht vertrugen, andererseits aber auch Intel-Applikationen wie Skype.
Klar, dass ich Little Snitch schon seit Panther-Zeiten habe. 😉