Websicherheit: Apple-Datei auf Webservern verrät Verzeichnisinhalte

Mittels Parser lassen sich aus .DS_Store-Dateien sensible Informationen auslesen. Das Projekt Internetwache.org hat sich die proprietäre Lösung von Apple genauer angeschaut - und Erstaunliches zutage gefördert.

Eine Analyse von Tim Philipp Schäfers und Sebastian Neef veröffentlicht am
Daten werden über die DS_Store-Dateien ungewollt preisgegeben.
Daten werden über die DS_Store-Dateien ungewollt preisgegeben. (Bild: Martin Wolf/Golem.de)

Apples DS_Store-Dateien können vertrauliche Informationen auf Webservern verraten, wie eine aktuelle Untersuchung des Projekts Internetwache.org zeigt. Dafür wird die sogenannte Desktop-Services-Store-Datei genutzt. Sie wurde 1999 im Zuge der Überarbeitung des Finders unter Mac OS eingeführt und existiert in jedem Ordner. In ihr wird die exakte Anzeigeposition einer Datei im Finder gespeichert, zudem ist sie für die Erfassung von Bewertungen oder Kommentaren zu den Dateien und die Ordneransicht zuständig. Mit einem von Internetwache.org entwickelten Tool können die Inhalte der Datei für Menschen zugänglich ausgelesen werden.

Inhalt:
  1. Websicherheit: Apple-Datei auf Webservern verrät Verzeichnisinhalte
  2. Viele Webseiten nach wie vor angreifbar

Für die zuletzt genannten Zwecke werden in der Datei die Dateinamen aus den jeweiligen Verzeichnissen codiert abgespeichert. Das Dateiformat ist prinzipiell nur für Mac-OS-Systeme interpretierbar, allerdings sind mittlerweile einige ausführliche Dokumentationen zu dem Dateiformat online verfügbar.

Häufige Sicherheitsprobleme durch .DS_Store in der Vergangenheit

Die Datei hat in der Vergangenheit immer wieder für Unmut bei den Nutzern und auch Sicherheitsprobleme gesorgt. Vor einigen Jahren war es beispielsweise möglich, mittels manipulierter .DS_Store-Datei beliebigen Programmcode auszuführen. Zudem beschwerten sich Nutzer (auch im Golem.de-Forum) darüber, dass die .DS_Store-Dateien willkürlich auf externen Datenträgern oder Netzlaufwerken angelegt wurden.

Apple reagierte auf die Kritik träge, stellte aber schließlich eine Dokumentation bereit, mit der sich die Funktion deaktivieren ließ und dämmte im Rahmen von Updates auch die Verbreitung auf Netzlaufwerken ein, da es bei mehrfachem Zugriff durch verschiedene Macs offensichtlich zu Problemen bei Kopiervorgängen kam.

Stellenmarkt
  1. Network Engineer (m/w/d)
    Netcom Kassel, Kassel
  2. Senior IT-Projektmanager (m/w/d)
    HiScout GmbH, Berlin
Detailsuche

Trotzdem findet sich die Datei bis heute auf vielen Datenträgern und Medien. Mit Hilfe von online verfügbaren Dokumentationen und durch längere Beschäftigung mit dem Dateiformat konnte Internetwache.org einen Parser schreiben, mit dem aus den UTF-16-codierten Datenblöcken die ursprünglichen Dateinamen zu ermitteln sind. Das Tool steht auch als Webapplikation zum Selbsttest zur Verfügung.

Über 10.000 Webseiten geben Informationen zum Verzeichnisinhalt preis

Internetwache.org hat auch die laut dem Statistikdienst Alexa 1 Million beliebtesten Webseiten des Internets nach .DS_Store-Dateien gescannt und die Ergebnisse in einem Blogpost dokumentiert. Die Ergebnisse zeigen, dass über 10.000 Webseiten der Top 1 Million .DS_Store-Dateien preisgeben. Der Scan wurde rekursiv durchgeführt, nahm also beim Fund einer .DS_Store-Datei im Wurzelverzeichnis auch die Unterverzeichnisse ins Visier und suchte dort nach .DS_Store-Dateien.

Am stärksten waren mit 5.019 betroffenen Webseiten COM-Adressen von der Informationspreisgabe betroffen, DE-Adressen liegen mit 285 betroffenen Webseiten auf Platz 5. Auch 74 Bildungseinrichtungen (EDU-Domains) sind von der Informationspreisgabe betroffen. Im Zuge der Untersuchung konnte das Team der Internetwache.org feststellen, dass zahlreiche Webseiten über die DS_Store-Dateien ungewollt auch sensible Informationen preisgeben. Einige Betreiber von großen Webseiten, bei denen ersichtlich war, dass die Informationspreisgabe Informationen für potenzielle Angreifer bereitstellen könnte, wurden im Vorfeld dieser Berichterstattung über den Fund informiert.

Leider haben nicht alle reagiert.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Viele Webseiten nach wie vor angreifbar 
  1. 1
  2. 2
  3.  


Nick van Hill 18. Mai 2019

Was gibt's dort zu sehen? Bitte um Spoiler, hab keine Lust es zu installieren. Aber du...

sori 15. Mai 2018

(entschuldigt die eher späte Antwort; ging zwischen den Tabs iwie vergessen...) Was ich...

phade 22. Mär 2018

Ich freu mich immer sehr, wenn auch RPMs oder diverse andere Pakete diese Dateien...

zZz 17. Mär 2018

Sehe ich genauso!



Aktuell auf der Startseite von Golem.de
25 Jahre Mars Attacks!
"Aus irgendeinem merkwürdigen Grund fehl am Platz"

Viele Amerikaner fanden Tim Burtons Mars Attacks! nicht so witzig, aber der Rest der Welt lacht umso mehr - bis heute, der Film ist grandios gealtert.
Von Peter Osteried

25 Jahre Mars Attacks!: Aus irgendeinem merkwürdigen Grund fehl am Platz
Artikel
  1. NIS 2 und Compliance vs. Security: Kann Sicherheit einfach beschlossen werden?
    NIS 2 und Compliance vs. Security
    Kann Sicherheit einfach beschlossen werden?

    Mit der NIS-2-Richtlinie will der Gesetzgeber für IT-Sicherheit sorgen. Doch gut gemeinte Regeln kommen in der Praxis nicht immer unbedingt auch gut an.
    Von Nils Brinker

  2. Artemis I: Orion-Kapsel ist in Mondorbit eingeschwenkt
    Artemis I
    Orion-Kapsel ist in Mondorbit eingeschwenkt

    Die Testmission für Mondlandungen der Nasa Artemis I hat den Mond erreicht. In den kommenden Tagen macht sich die Orion-Kapsel auf den Rückweg.

  3. Apple-Auftragsfertiger: Unruhen bei Foxconn und 30 Prozent iPhone-Produktionsverlust
    Apple-Auftragsfertiger
    Unruhen bei Foxconn und 30 Prozent iPhone-Produktionsverlust

    Foxconn soll Einstellungsprämien an Arbeiter nicht gezahlt haben, weshalb es zu Unruhen kam. Nun gab es Massenkündigungen. Für Apple ist die Situation gefährlich.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Black Friday bei Mindfactory, MediaMarkt & Saturn • Prime-Filme leihen für je 0,99€ • WD_BLACK SN770 500GB 49,99€ • GIGABYTE Z690 AORUS ELITE 179€ • Seagate FireCuda 530 1TB 119,90€ • Crucial P3 Plus 1TB 81,99 & P2 1TB 67,99€ • Alpenföhn Wing Boost 3 ARGB 120 3er-Pack 42,89€ [Werbung]
    •  /