Oh oh! BitTorrent-Client Transmission wurde verseucht unter das Volk gebracht

6. März 2016 Kategorie: Apple, Internet, geschrieben von: caschy

bittorrent transmissionDas sind mal schlechte Nachrichten für alle Freunde von Transmission. Transmission ist ein BitTorrent-Client für OS X, Linux und diverse NAS-Systeme. Letzte Woche berichteten diverse Medien über den Client, da er nach extrem langer Zeit mal wieder ein Update spendiert bekommen hat. Nun gibt es aber ein großes Problem den Client unter OS X betreffend. Offenbar haben Angreifer die Seite gekapert oder Zugangs zum System bekommen und eine schadhafte Version von Transmission in Umlauf gebracht. So kann es sein, dass Menschen, die Transmission nutzen, einen Schädling auf ihrem Mac installiert haben. Derzeit informiert der interne Updater über diesen Umstand und verrät, dass man doch auf die Version 2.91 aktualisieren solle. So teilt man es derzeit via Webseite und Installer mit – und gibt gleich einen Hinweis, wie man die nicht näher definierte Malware eliminiert. Googelt man KeRanger, dann könnte es sich um Ransomware handeln. Software, die Daten in Verschlüsselungshaft nimmt, bis man Geld für einen Encrypt-Schlüssel zahlt (siehe Locky).

Bildschirmfoto 2016-03-06 um 19.50.30

„Everyone running 2.90 on OS X should immediately upgrade to 2.91 or delete their copy of 2.90, as they may have downloaded a malware-infected file.

Using “Activity Monitor” preinstalled in OS X, check whether any process named “kernel_service” is running. If so, double check the process, choose the “Open Files and Ports” and check whether there is a file name like “/Users//Library/kernel_service”. If so, the process is KeRanger’s main process. We suggest terminating it with “Quit -> Force Quit”.

 



Über den Autor: caschy

Hallo, ich bin Carsten! Daddy von Max, Dortmunder im Norden, BVB-Getaufter, Gerne-Griller und Gründer dieses Blogs. Auch zu finden bei Twitter, Google+, Facebook, XING, Linkedin, Instagram und YouTube. Persönliches Blog. PayPal-Kaffeespende.

Carsten hat bereits 22139 Artikel geschrieben.

18 Kommentare

Kevin S. 6. März 2016 um 20:09 Uhr

Für alle die Homebrew’s Cask unter Mac verwenden, die Version dort ist immer noch die 2.90 also unbedingt meiden.

Thomas 6. März 2016 um 20:12 Uhr

warum kann Chrome das nicht einfach native so müsste man keinen Client installieren…

Micha 6. März 2016 um 20:23 Uhr

Gatekeeper wurde wohl schon mit den nötigen Infos gefüttert.
Bei wem das Viech also noch nicht wirksam wurde, der ist wohl vorerst sicher.

http://www.reuters.com/article.....me=topNews

DancingBallmer 6. März 2016 um 20:49 Uhr

Soweit ich weiß überprüft Gatekeeper aber nur die Progamme, welche auch über eine Lizenz verfügen. Viele kostenlose Programme verfügen aber über keine, weswegen man bei der Installation Gatekeeper umgeht (rechte Maustaste / Öffnen). Benutze zwar nicht Transmission, ich habe hier einige andere Programme, die aber nicht über den App-Shop kommen und für die ich Gatekeeper umgangen habe.

Nach der Sparsebundle-Geschichte bin ich zwar generell bei Updates vorsichtiger geworden, aber die Geschichte ist in der Tat richtig problematisch, da man es wahrscheinlich nicht nur bei Transmission versucht hat. Bei mir ist das letzte Programmupdate älter als drei Tage, dementsprechend dürfte ich sicher sein. Aber ich denke so langsam muß man sich wohl auch auf dem Mac mit einem Virenscanner anfreunden, außer man nutzt wirklich nur Pogramme aus dem App-Shop.

Micha 6. März 2016 um 20:55 Uhr

Wenn ich Apples Aussage dazu richtig verstehe, hatten die Entwickler von Transmission offenbar ein gültiges Zertifikat. Das wurde nun von Apple widerrufen, weshalb der Gatekeeper jetzt Alarm schlagen müsste.
Das verhindert freilich keine Installation. Wer will, installiert sich den verseuchten Client trotz Warnmeldung.

Max Nuding (@hutattedonmyarm) 6. März 2016 um 20:58 Uhr

@Kevin Stimmt, wobei vor knapp 40min wurde der Commit gepusht der auf 2.9.1 aktualisiert. Kann sich also nurnoch um Minuten handeln bis das update auch über Homebrew verfügbar ist

DancingBallmer 6. März 2016 um 21:31 Uhr

@ Micha

Klar, aktuell betrifft es nur Transmission. Meine Sorge gilt aber eben alle anderen Programmen, die auch nicht über den App-Shop kommen und deren Internetseiten relativ leicht angreifbar sein könnten. Google, Microsoft, Parallels oder Mozilla dürfte es wahrscheinlich nicht erwischen, aber bei mir wären da z.B. noch Chromium, FreeFileSync, BetterTouchTool, MacPass, Coca, Calibre, Skim, Keka, Vienna und noch einige mehr. Von denen dürften einige definitiv keine Lizenz haben und müssen ohne den GateKeeper installiert werden. Alles kleinere Freewareprojekte, teilweise von nur einem Programmierer, aber gleichzeitig ziemlich populär und auf die man nur ungern verzichten möchte. Würde mich doch stark wundern, wenn man es bei denen nicht auch probiert hat, bzw. noch probiert.

Aktuell bleibt damit nur die Hoffnung, das kostenlose Virenscanner wie Bitdefender Ransomware bald auch erkennen und man jeden Installer vorher scannen sollte. Auf die Autoupdatefunktionen von Progammen sollte man wohl auch jetzt grundsätzlich verzichten, außer sie kommen aus dem App-Shop.

Kevin S. 6. März 2016 um 22:26 Uhr

@Max kann bestätigen das Cask jetzt die 2.91 anbietet, brew update vor dem Installieren nicht vergessen!

Kalle 7. März 2016 um 01:52 Uhr

@Micha
Die Angreifer haben mit ihrem eigenen Zertifikat die App signiert. Dieses wurde von Apple geblockt.

@DancingBallmer
Neben Gatekeeper greift auch noch der OS X-interne Malwarescanner. Alle heruntergeladenen Dateien kommen in eine Quarantäne und werden anhand der XProtect-Liste auf bekannte Malware getestet. So wie das ein Scanner Dritter auch machen würde.
In dem Fall hier befand sich die Ransomware schon auf der Liste von Apple, wie man im Transmission-Forum erfährt: https://forum.transmissionbt.com/viewtopic.php?t=17834

Scanner Dritter können auch nur auf das scannen was sie kennen. Ich persönlich führe nichts aus für das ich Gatekeeper umgehen müsste. Mir ist seit langem keine App mehr untergekommen die ohne Apple-Zertifikat daherkommt.

Sven 7. März 2016 um 06:24 Uhr

Auf Apple Geräten gibt es keine Viren…

bergzierde 7. März 2016 um 08:21 Uhr

@Sven Wo siehst du einen Virus? Danke für den wertvollen Beitrag.

saujung 7. März 2016 um 10:20 Uhr

Aber schon lustig, jetzt kann man mal schreiben: Mit Windows wäre das nicht passiert. 😉

DancingBallmer 7. März 2016 um 11:45 Uhr

@ Kalle
Wollte mal sehen welche Anwendungen bei mir keine Lizenz haben, aber leider braucht man dafür wohl Xcode und die 4GB installier ich dafür nicht. Ein oder zwei Programme müssten es aber mit Sicherheit sein.

XProtect gibt es in der Tat auch noch, aber ich vermute mal Sicherheitsfirmen sind da deutlich flotter unterwegs. Einen Hintergrundscanner würde derzeit auch nicht laufen lassen wollen, aber zusätzlich Programmpakete scannen lassen schadet sicherlich nicht. Vielleicht übertreibe ich es, aber durch die Sparkle-Updategeschichte und ganzen die Ransomwaregeschichten (erst Synology-NAS, dann Windows mit Locky und jetzt eben auch der Mac) fühlt es sich bei mir so an als ob in letzter Zeit besonders viel Mist im Netzt abläuft.

Kalle 7. März 2016 um 14:39 Uhr

@DancingBallmer

Dafür kannst du auch codesign nutzen.

codesign -dvvv /pfad/zur/app

spuckt alles aus was du wissen willst. Mit den Flags sogar die Entwickler-ID. Terminal kann Drag und Drop, App auf’s Terminal ziehen füllt automatisch den Dateipfad aus.

Ansonsten gebe ich dir Recht. Es schadet nicht mal einen Scanner über’s Downloadverzeichnis zu schicken. Gerade wenn man viel aus unterschiedlichen Quellen lädt. Das stoppt nicht nur potentielle Malware sondern kann auch das Weiterleiten von Schadsoftware verhindern, die andere Systeme betreffen.

DancingBallmer 7. März 2016 um 16:24 Uhr

@ Kalle
Vielen Dank für den Tipp. Funktioniert einwandfrei und ist sehr aufschlußreich.

Aktuell haben bei mir mit FreeFileSync, OTRDecoderX, Singer Song Reader und What’s Keeping Me 4 Programme überhaupt kein Zertifikat. OTRDecoderX und What’s Keeping Me wurden zuletzt noch glaube ich vor Mavericks aktualisiert. Singer Song Reader ist ein Hobbyprojekt und relativ klein und bekommt relativ selten Updates. FreeFileSync ist dagegen relativ bekannt und bekommt häufiger Updates. Bei Skim bekomme ich nur eine sehr verkürzte Anzeige. Habe testweise die App gelöscht und von meinem gesicherten Installer neu installiert, Gatekeeper akzeptiert die Signatur nicht. Letztes Update war hier vor knapp einer Woche. Damit hätte ich mit FreeFileSync und Skim zwei Programme, die mir bezüglich Updates jetzt doch leicht Sorgen bereiten.

Kalle 7. März 2016 um 21:05 Uhr

Hab mir Skim mal angesehen. Das ist interessant. Die App hat ebenfalls kein Zertifikat von Apple, dafür eins mit der ID Skim Signing Certificate. Die Entwickler nutzen einen Umweg (ihr eigenes Zertifikat) weil seit Mavericks jedes Framework usw dass in eine App integriert wird signiert sein muss: http://furbo.org/2013/10/17/co.....mavericks/

Dafür gibt’s diesen Hack hier:
https://ehc.ac/p/skim-app/mailman/message/26826819/

Allerdings würde ich mir jetzt nicht allzuviel Sorgen machen. Neben Gatekeeper gibt’s ja wie gesagt noch XProtect, Rootless, usw. Und so eine Entwicklerwebsite muss ja auch erstmal gekapert werden.

Michael Starke 10. März 2016 um 18:49 Uhr

@DancingBallmer die offiziellen Releases von MacPass sind sehr wohl von offizieller und per teuer Geld erkauften Entwickler ID signiert. Meiner 😉


Kommentar verfassen



Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung.