Websicherheit: Apple-Datei auf Webservern verrät Verzeichnisinhalte

Mittels Parser lassen sich aus .DS_Store-Dateien sensible Informationen auslesen. Das Projekt Internetwache.org hat sich die proprietäre Lösung von Apple genauer angeschaut - und Erstaunliches zutage gefördert.

Eine Analyse von Tim Philipp Schäfers und Sebastian Neef veröffentlicht am
Daten werden über die DS_Store-Dateien ungewollt preisgegeben.
Daten werden über die DS_Store-Dateien ungewollt preisgegeben. (Bild: Martin Wolf/Golem.de)

Apples DS_Store-Dateien können vertrauliche Informationen auf Webservern verraten, wie eine aktuelle Untersuchung des Projekts Internetwache.org zeigt. Dafür wird die sogenannte Desktop-Services-Store-Datei genutzt. Sie wurde 1999 im Zuge der Überarbeitung des Finders unter Mac OS eingeführt und existiert in jedem Ordner. In ihr wird die exakte Anzeigeposition einer Datei im Finder gespeichert, zudem ist sie für die Erfassung von Bewertungen oder Kommentaren zu den Dateien und die Ordneransicht zuständig. Mit einem von Internetwache.org entwickelten Tool können die Inhalte der Datei für Menschen zugänglich ausgelesen werden.

Inhalt:
  1. Websicherheit: Apple-Datei auf Webservern verrät Verzeichnisinhalte
  2. Viele Webseiten nach wie vor angreifbar

Für die zuletzt genannten Zwecke werden in der Datei die Dateinamen aus den jeweiligen Verzeichnissen codiert abgespeichert. Das Dateiformat ist prinzipiell nur für Mac-OS-Systeme interpretierbar, allerdings sind mittlerweile einige ausführliche Dokumentationen zu dem Dateiformat online verfügbar.

Häufige Sicherheitsprobleme durch .DS_Store in der Vergangenheit

Die Datei hat in der Vergangenheit immer wieder für Unmut bei den Nutzern und auch Sicherheitsprobleme gesorgt. Vor einigen Jahren war es beispielsweise möglich, mittels manipulierter .DS_Store-Datei beliebigen Programmcode auszuführen. Zudem beschwerten sich Nutzer (auch im Golem.de-Forum) darüber, dass die .DS_Store-Dateien willkürlich auf externen Datenträgern oder Netzlaufwerken angelegt wurden.

Apple reagierte auf die Kritik träge, stellte aber schließlich eine Dokumentation bereit, mit der sich die Funktion deaktivieren ließ und dämmte im Rahmen von Updates auch die Verbreitung auf Netzlaufwerken ein, da es bei mehrfachem Zugriff durch verschiedene Macs offensichtlich zu Problemen bei Kopiervorgängen kam.

Stellenmarkt
  1. Systementwickler DevOps Remote Services (m/w/d)
    KHS GmbH, Dortmund
  2. Android-Entwickler (m/w/d) - Connected Car
    e.solutions GmbH, Ingolstadt
Detailsuche

Trotzdem findet sich die Datei bis heute auf vielen Datenträgern und Medien. Mit Hilfe von online verfügbaren Dokumentationen und durch längere Beschäftigung mit dem Dateiformat konnte Internetwache.org einen Parser schreiben, mit dem aus den UTF-16-codierten Datenblöcken die ursprünglichen Dateinamen zu ermitteln sind. Das Tool steht auch als Webapplikation zum Selbsttest zur Verfügung.

Über 10.000 Webseiten geben Informationen zum Verzeichnisinhalt preis

Internetwache.org hat auch die laut dem Statistikdienst Alexa 1 Million beliebtesten Webseiten des Internets nach .DS_Store-Dateien gescannt und die Ergebnisse in einem Blogpost dokumentiert. Die Ergebnisse zeigen, dass über 10.000 Webseiten der Top 1 Million .DS_Store-Dateien preisgeben. Der Scan wurde rekursiv durchgeführt, nahm also beim Fund einer .DS_Store-Datei im Wurzelverzeichnis auch die Unterverzeichnisse ins Visier und suchte dort nach .DS_Store-Dateien.

Am stärksten waren mit 5.019 betroffenen Webseiten COM-Adressen von der Informationspreisgabe betroffen, DE-Adressen liegen mit 285 betroffenen Webseiten auf Platz 5. Auch 74 Bildungseinrichtungen (EDU-Domains) sind von der Informationspreisgabe betroffen. Im Zuge der Untersuchung konnte das Team der Internetwache.org feststellen, dass zahlreiche Webseiten über die DS_Store-Dateien ungewollt auch sensible Informationen preisgeben. Einige Betreiber von großen Webseiten, bei denen ersichtlich war, dass die Informationspreisgabe Informationen für potenzielle Angreifer bereitstellen könnte, wurden im Vorfeld dieser Berichterstattung über den Fund informiert.

Leider haben nicht alle reagiert.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Viele Webseiten nach wie vor angreifbar 
  1. 1
  2. 2
  3.  


Nick van Hill 18. Mai 2019

Was gibt's dort zu sehen? Bitte um Spoiler, hab keine Lust es zu installieren. Aber du...

sori 15. Mai 2018

(entschuldigt die eher späte Antwort; ging zwischen den Tabs iwie vergessen...) Was ich...

phade 22. Mär 2018

Ich freu mich immer sehr, wenn auch RPMs oder diverse andere Pakete diese Dateien...

zZz 17. Mär 2018

Sehe ich genauso!

MadDoc 15. Mär 2018

Anscheinend weiß Microsoft das selber noch nicht. --> https://answers.microsoft.com/en-us...



Aktuell auf der Startseite von Golem.de
Resident Evil (1996)
Grauenhaft gut

Resident Evil zeigte vor 25 Jahren, wie Horror im Videospiel auszusehen hat. Wir schauen uns den Klassiker im Golem retro_ an.

Resident Evil (1996): Grauenhaft gut
Artikel
  1. Streaming: Chromecast erhält spezielle Youtube-Fernbedienung
    Streaming
    Chromecast erhält spezielle Youtube-Fernbedienung

    Die Steuerung von Youtube auf einem Chromecast soll mit einer neuen Funktion deutlich komfortabler werden.

  2. Studie: Kinder erhalten Smartphone meist zwischen 6 und 11 Jahren
    Studie
    Kinder erhalten Smartphone meist zwischen 6 und 11 Jahren

    Nur eine sehr geringe Minderheit der Eltern will ihrem Kind erst mit 15 Jahren ein Smartphone zur Verfügung stellen.

  3. Google: Kopfhörer verlieren Google-Assistant-Support auf iPhones
    Google
    Kopfhörer verlieren Google-Assistant-Support auf iPhones

    Wer Google Assistant am Kopfhörer benutzen will, ist künftig auf ein Android-Gerät angewiesen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Saturn-Advent: Samsung Portable SSD T5 1 TB 84€ • ViewSonic VX2718-2KPC-MHD (WQHD, 165 Hz) 229€ • EPOS Sennheiser GSP 670 199€ • EK Water Blocks Elite Aurum 360 D-RGB All in One 205,89€ • KFA2 Geforce RTX 3070 OC 8 GB 1.019€ • Alternate (u. a. AKRacing Core SX 269,98€) [Werbung]
    •  /