[Tarnkappe] Passwortdiebstahl: Neuer Kopierschutz aktiviert Trojaner bei illegaler Nutzung

Viele virtuelle Piloten waren sicher begeistert, als das neueste Microsoft-Flugsimulator Add-On, das Erweiterungspaket für Zusatzflugzeuge, des kommerziellen Anbieters Flight Sim Labs Ltd. (FSLabs) erschien. Jedoch war für die meisten die Freude von nicht langer Dauer. Am Sonntag (18. 02.2018) wurde ein Reddit-Post bekannt, in dem behauptet wurde, dass das FSLabs A320-Installationsprogramm ein Tool zum Extrahieren von Google Chrome-Passwörtern, also einen Trojaner, enthielt, berichtet theregister.



Der User ‘crankyrecursion’ stellte fest, dass eine Datei namens ‘test.exe’ auf dem Computer des Nutzers extrahiert wurde, als die Installationsdatei von FSLabs “FSLabs_A320X_P3D_v2.0.1.231.exe” ausgeführt wurde. Weitere Untersuchungen ergaben, dass es sich hierbei um den Code eines von SecurityXploded.com stammenden Tools handelt, mit dem sich gespeicherte Passwörter aus Googles Chrome-Browser auslesen lassen. Dieses kann über weitreichende Rechte verfügen, da der Installer der Flugsimulator-Software nach Admin-Rechten verlangt und diese auch an Programmkomponenten vererben kann.



Wie sich dann herausstellte, geht Flight Sim Labs Ltd. völlig neue Wege im Kampf gegen Piraterie, indem sie wenig verhältnismäßige Mittel gegen Nutzer einzusetzen bereit sind. Sie veranlassten, dass bei Usern, die das Produkt ohne ordentlich gekaufte Lizenz verwenden, auf deren Rechnern Malware aktiviert wird, die dann, einmal aktiviert, verschiedene Informationen von dem System ausspionieren soll. Einmal dort eingenistet, sammelt sie alle Benutzernamen und Kennwörter in Google Chrome und sendet diese an den Hersteller. Die Malware wird ohne Zustimmung des Nutzers und ohne dessen Wissen auf sein Benutzersystem übertragen. Fraglich ist, ob das Vorgehen überhaupt legal ist. Das beanstandet u.a. auch Luke Gorman, Softwareentwickler, bei Medium.

Firmenchef von Flight Sim Labs Ltd., Lefteris Kalamaras, versuchte diese Maßnahme als Verteidigungsmaßnahme gegen Piraterie zu rechtfertigen. Die Informationen könnten dann verwendet werden, um Zugang zu illegalen Websites zu erhalten, die von der Crack-Community des Spiels verwendet werden, um sie dann an die Behörden weiterzugeben, meinte er. Aufgrund der allgemeinen Empörung wurde jedoch das umstrittene Installationsprogramm seitdem entfernt. Zudem hat sich Flight Sim Labs bei seinen Usern dafür entschuldigt, dass sie einen solch “übertriebenen Ansatz für unseren DRM-Installer” zum Einsatz brachten.

Bildquelle: Gellinger, thx! (CC0 Public Domain)



https://tarnkappe.info/passwortdieb...tiviert-trojaner-bei-illegaler-nutzung/Quelle
Autor: Antonia
Quelle

 

[tux]

Ich kann verstehen, dass sich der Hersteller gegen eine illegale Verbreitung wehren möchte. Aber das geht entschieden zu weit.

 

[Bruder Mad]

Das geht nicht nur zu weit, das ist ein Skandal!
Man denke nur an Zugangsdaten für z.B. Online-Banking, Firmenaccounts, E-Mail-Accounts etc.

Bin mal gespannt, ob da welche klagen.

 

[Lokalrunde]

@Bruder Mad: Das hoffe ich sogar. Der Einsatz einer solchen Software/Malware ist nicht legal. Und dass man Illegales nicht mit Illegalem bekämpfen darf, sollte bekannt sein. (in before: Staatstrojaner!!11)

 

[theSplit]

Stimmt wohl, das ist kein "(Digitial) rights management", sondern, ich würde es, Spionage - nennen.

Es ist schon fraglich an sich, dass ein Hersteller "Schadcode" in seinem Installer bereit hält - und dieser damit ausgeliefert wird. Rechte Managen: eine Software nicht installieren oder ausführen/betreiben zu können, aber nicht Benutzerdaten an den Hersteller zu übermitteln. Das geht eindeutig zu weit. Zumindest über das Recht, eine Software nutzen zu können oder eben nicht, was ein Kopierschutz ja garantieren soll.

Aber ungefragt sensible Daten, die zum Teil nicht mal relevant sein müssen, durch das Netz auf irgendwelche Server/Ins Netz zu jagen, großer Mist.

 

[TBow]

Die Rechte des Urheberrechtsverletzers werden verletzt. So etwas ist doch echt gemein und fies.

Lebt einfach nach dem Motto, wer nichts Illegales tut, der hat überhaupt nichts zu befürchten!

 

[Metal_Warrior]

Jupp, ist heut auf fefe aufgeschlagen - der Entschuldigungspost war großes Kino. Es war damals ein Problem, dass man Sony BMG nicht in Grund und Boden gestampft hat, als sie 2005 mit den CDs von Céline Dion mit XCP ein Rootkit verteilt haben. Auf Milliarden verklagen, Firma plätten, Geschäftsführer einsperren, Exempel statuieren. Allein die Tatsache, dass sich in Chrome zig Zugangsdaten zu kritischen Systemen (Bankkonten etc.) befinden, macht den Angriffsweg zum Tabu. Wer so arbeitet, arbeitet wie ein Krimineller, Ausspähen von besonders geschützten Daten, §202a StGB in Tateinheit mit §202c StGB. Dagegen ist Raubkopie ein Kavaliersdelikt.

 

[theSplit]

@Metal_Warrior: Das seh ich auch genau wie du, auch wenn ich es nicht so gut untermauern/unterfüttern kann

Edit:
Hier wurde ja scheinbar "alles ausgespäht", nicht mal ob es relevant ist zum Softwarebetrieb oder nicht.

 

[Cybercat]

Wer sensible Zugangsdaten wie Bank, Amazon, ebay, PayPal, im Browser automatisch einfügen lässt, hat die Kontrolle über sein Leben verloren.
Das eine Spionage-Software diese Passwörter dazu noch im Klartext extrahieren kann, zeigt doch schon das diese Methode unzuverlässig und riskant ist.

Sensible Zugansdaten kenne ich auswendig und der ganze Rest liegt als verschlüsseltes Archiv auf einer SD-Karte und als Backup noch auf einem USB-Stick. Als letzte Sicherheit noch ein Ausdruck im Bankschließfach.

 

[Bruder Mad]

Um bei dem Beispiel mit den Online-Banking-Daten zu bleiben. Es gibt immer weniger Fillialen und viele ältere Leute werden schon fast gezwungen, Online-Banking zu nutzen, wenn sie nicht immer bis wer weiß wo laufen wollen, um mal eben eine Überweisung zu tätigen.
Willst du denen jetzt noch einen Kurs über Datenschutz und Gefahren im Internet geben? Vergiss es... Das klappt in den seltensten Fällen ordentlich.

 

[Cybercat]

Immerhin hat die Softwareschmiede findigen Hackern eine Menge Arbeit abgenommen. Die Routine ist nun mal im Netz und wird sich nicht in Luft auflösen nur weil sie jetzt wieder aus dem Installer entfernt wurde.
Ahnung+genug kriminelle Energie und man hat auf einfachem Weg eine Malware die dann halt jeden Rechner infizieren kann.

 

[Metal_Warrior]

@Cybercat: Die Routine war vorher schon im Netz, die haben sie nur verwendet.

 

[Cybercat]

@Metal_Warrior: Und Google zeigte wohl kein Interesse daran einen Patch raus zu bringen um diese "gravierende" Sicherheitslücke zu schließen.
Ein Grund mehr um jedes PW von Hand einzugeben.

 

[Hartman]

Ist ein solches Vorgehen nicht schwer Cyberkriminel? Das muss doch wohl unter Strafe stehen. Ich kann mir kaum vorstellen, das ein Unternehme ein solches Risiko eingeht und einen solchen Image Schaden riskiert.

 

[Metal_Warrior]

@Metal_Warrior: Und Google zeigte wohl kein Interesse daran einen Patch raus zu bringen um diese "gravierende" Sicherheitslücke zu schließen.

Die kann man nicht schließen. Das grundlegende Sicherheitsproblem an dieser Stelle ist, dass du den Passwortmanager nutzt, um die Passwörter nicht selbst per Hand einzugeben. Um das zu können, MUSS die Datei, in der sie stehen, von Chrome entschlüsselt werden können. Dieser Schlüssel muss irgendwo im Klartext liegen, und zwar an einer definierten Stelle (wie auch die Datei selbst), sonst könnte Chrome das nicht. Und genau da greift das Tool an - es holt sich den Schlüssel, und entschlüsselt die Datei.
Das Einzige, was du tun kannst, um so ein Verhalten zu verhindern, ist, den Schlüssel selbst noch einmal zu verschlüsseln, und diese Option gibt es - nennt sich Masterpasswort. Ist sie gesetzt, wäre das Tool ebenfalls machtlos. Allerdings musst du dann für jede Passworteingabe im Browser, die du automatisiert vornehmen willst, dein Masterpasswort eingeben. Ist möglich, keine Frage, aber nutzt halt kaum ein User, weil kompliziert.

Ist ein solches Vorgehen nicht schwer Cyberkriminel?

Die Paragraphen stehen oben - Ja, das ist kriminell.

 

[KaPiTN]

Das Einzige, was du tun kannst, um so ein Verhalten zu verhindern, ist, den Schlüssel selbst noch einmal zu verschlüsseln, und diese Option gibt es - nennt sich Masterpasswort. Ist sie gesetzt, wäre das Tool ebenfalls machtlos. Allerdings musst du dann für jede Passworteingabe im Browser, die du automatisiert vornehmen willst, dein Masterpasswort eingeben. Ist möglich, keine Frage, aber nutzt halt kaum ein User, weil kompliziert.

Bei Firefox zumindest wird nur einmal nach dem Masterpaßwort gefragt und ist solange gültig, bis der Browser geschlossen wird.