• IT-Karriere:
  • Services:

Websicherheit: Apple-Datei auf Webservern verrät Verzeichnisinhalte

Mittels Parser lassen sich aus .DS_Store-Dateien sensible Informationen auslesen. Das Projekt Internetwache.org hat sich die proprietäre Lösung von Apple genauer angeschaut - und Erstaunliches zutage gefördert.

Eine Analyse von Tim Philipp Schäfers und Sebastian Neef veröffentlicht am
Daten werden über die DS_Store-Dateien ungewollt preisgegeben.
Daten werden über die DS_Store-Dateien ungewollt preisgegeben. (Bild: Martin Wolf/Golem.de)

Apples DS_Store-Dateien können vertrauliche Informationen auf Webservern verraten, wie eine aktuelle Untersuchung des Projekts Internetwache.org zeigt. Dafür wird die sogenannte Desktop-Services-Store-Datei genutzt. Sie wurde 1999 im Zuge der Überarbeitung des Finders unter Mac OS eingeführt und existiert in jedem Ordner. In ihr wird die exakte Anzeigeposition einer Datei im Finder gespeichert, zudem ist sie für die Erfassung von Bewertungen oder Kommentaren zu den Dateien und die Ordneransicht zuständig. Mit einem von Internetwache.org entwickelten Tool können die Inhalte der Datei für Menschen zugänglich ausgelesen werden.

Inhalt:
  1. Websicherheit: Apple-Datei auf Webservern verrät Verzeichnisinhalte
  2. Viele Webseiten nach wie vor angreifbar

Für die zuletzt genannten Zwecke werden in der Datei die Dateinamen aus den jeweiligen Verzeichnissen codiert abgespeichert. Das Dateiformat ist prinzipiell nur für Mac-OS-Systeme interpretierbar, allerdings sind mittlerweile einige ausführliche Dokumentationen zu dem Dateiformat online verfügbar.

Häufige Sicherheitsprobleme durch .DS_Store in der Vergangenheit

Die Datei hat in der Vergangenheit immer wieder für Unmut bei den Nutzern und auch Sicherheitsprobleme gesorgt. Vor einigen Jahren war es beispielsweise möglich, mittels manipulierter .DS_Store-Datei beliebigen Programmcode auszuführen. Zudem beschwerten sich Nutzer (auch im Golem.de-Forum) darüber, dass die .DS_Store-Dateien willkürlich auf externen Datenträgern oder Netzlaufwerken angelegt wurden.

Apple reagierte auf die Kritik träge, stellte aber schließlich eine Dokumentation bereit, mit der sich die Funktion deaktivieren ließ und dämmte im Rahmen von Updates auch die Verbreitung auf Netzlaufwerken ein, da es bei mehrfachem Zugriff durch verschiedene Macs offensichtlich zu Problemen bei Kopiervorgängen kam.

Stellenmarkt
  1. Dataport, Hamburg
  2. KION Group AG, Frankfurt am Main

Trotzdem findet sich die Datei bis heute auf vielen Datenträgern und Medien. Mit Hilfe von online verfügbaren Dokumentationen und durch längere Beschäftigung mit dem Dateiformat konnte Internetwache.org einen Parser schreiben, mit dem aus den UTF-16-codierten Datenblöcken die ursprünglichen Dateinamen zu ermitteln sind. Das Tool steht auch als Webapplikation zum Selbsttest zur Verfügung.

Über 10.000 Webseiten geben Informationen zum Verzeichnisinhalt preis

Internetwache.org hat auch die laut dem Statistikdienst Alexa 1 Million beliebtesten Webseiten des Internets nach .DS_Store-Dateien gescannt und die Ergebnisse in einem Blogpost dokumentiert. Die Ergebnisse zeigen, dass über 10.000 Webseiten der Top 1 Million .DS_Store-Dateien preisgeben. Der Scan wurde rekursiv durchgeführt, nahm also beim Fund einer .DS_Store-Datei im Wurzelverzeichnis auch die Unterverzeichnisse ins Visier und suchte dort nach .DS_Store-Dateien.

Am stärksten waren mit 5.019 betroffenen Webseiten COM-Adressen von der Informationspreisgabe betroffen, DE-Adressen liegen mit 285 betroffenen Webseiten auf Platz 5. Auch 74 Bildungseinrichtungen (EDU-Domains) sind von der Informationspreisgabe betroffen. Im Zuge der Untersuchung konnte das Team der Internetwache.org feststellen, dass zahlreiche Webseiten über die DS_Store-Dateien ungewollt auch sensible Informationen preisgeben. Einige Betreiber von großen Webseiten, bei denen ersichtlich war, dass die Informationspreisgabe Informationen für potenzielle Angreifer bereitstellen könnte, wurden im Vorfeld dieser Berichterstattung über den Fund informiert.

Leider haben nicht alle reagiert.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Viele Webseiten nach wie vor angreifbar 
  1. 1
  2. 2
  3.  


Anzeige
Top-Angebote
  1. (u. a. HP Omen 25 FHD/144 Hz für 169€, MSI Optix MAG271CQP WQHD/144 Hz für 339€ und...
  2. 159€ (neuer Tiefpreis)
  3. 119,90€ (Vergleichspreis 148,95€)
  4. 69,99€ (Vergleichspreis 105,98€)

Nick van Hill 18. Mai 2019

Was gibt's dort zu sehen? Bitte um Spoiler, hab keine Lust es zu installieren. Aber du...

sori 15. Mai 2018

(entschuldigt die eher späte Antwort; ging zwischen den Tabs iwie vergessen...) Was ich...

phade 22. Mär 2018

Ich freu mich immer sehr, wenn auch RPMs oder diverse andere Pakete diese Dateien...

zZz 17. Mär 2018

Sehe ich genauso!

MadDoc 15. Mär 2018

Anscheinend weiß Microsoft das selber noch nicht. --> https://answers.microsoft.com/en-us...


Folgen Sie uns
       


Nubia Z20 - Test

Das Nubia Z20 hat sowohl auf der Vorderseite als auch auf der Rückseite einen Bildschirm. Dadurch ergeben sich neue Möglichkeiten der Benutzung, wie sich Golem.de im Test angeschaut hat.

Nubia Z20 - Test Video aufrufen
Radeon RX 5600 XT im Test: AMDs Schneller als erwartet-Grafikkarte
Radeon RX 5600 XT im Test
AMDs "Schneller als erwartet"-Grafikkarte

Für 300 Euro ist die Radeon RX 5600 XT interessant - trotz Konkurrenz durch Nvidia und AMD selbst. Wie sehr die Navi-Grafikkarte empfehlenswert ist, hängt davon ab, ob Nutzer sich einen Flash-Vorgang zutrauen.
Ein Test von Marc Sauter

  1. Grafikkarte AMD bringt RX 5600 XT im Januar
  2. Grafikkarte Radeon RX 5600 XT hat 2.304 Shader und 6 GByte Speicher
  3. Radeon RX 5500 XT (8GB) im Test Selbst mehr Speicher hilft AMD nicht

Lovot im Hands-on: Knuddeliger geht ein Roboter kaum
Lovot im Hands-on
Knuddeliger geht ein Roboter kaum

CES 2020 Lovot ist ein Kofferwort aus Love und Robot: Der knuffige japanische Roboter soll positive Emotionen auslösen - und tut das auch. Selten haben wir so oft "Ohhhhhhh!" gehört.
Ein Hands on von Tobias Költzsch

  1. Orcam Hear Die Audiobrille für Hörgeschädigte
  2. Schräges von der CES 2020 Die Connected-Kartoffel
  3. Viola angeschaut Cherry präsentiert preiswerten mechanischen Switch

Shitrix: Das Citrix-Desaster
Shitrix
Das Citrix-Desaster

Eine Sicherheitslücke in Geräten der Firma Citrix zeigt in erschreckender Weise, wie schlecht es um die IT-Sicherheit in Behörden steht. Es fehlt an den absoluten Grundlagen.
Ein IMHO von Hanno Böck

  1. Perl-Injection Citrix-Geräte mit schwerer Sicherheitslücke und ohne Update

    •  /