App aus dem App(le) Store mit Key Logger ?!

Hallo zusammen

Vor vielen Jahren hatte ich mit meinen Kindern “Real Racing” gespielt. Ich meine, die App war auf den Apple-Rechnern vorinstalliert. Später hatte ich (glaub ich), via App Store das Upgrade auf Version 2 gemacht. Als ich die App kürzlich wieder ein Mal öffnen wollte (Läuft sie noch ? Löschen ?), kam folgende Sicherheits-Warnung:

Realracing ist eine KeyLogger-App1146×578 75.7 KB

Echt jetzt ?!

Hat Apple Software auf User-Rechner vorinstalliert – oder trotz Sicherheits-Checks via App Store zugelassen – die Tastatureingaben loggen kann ?!

Und jetzt – nach vielen Jahren – erfahre ich dies, weil Apple inzwischen für solche zentralen sicherheits-relevanten Freigaben eine User-Abfrage eingebaut hat ?!

Irgendwie skuril … Würde Apple das Offenlegen nicht zu verhindern versuchen … ?

Sollte und kann ich – abgesehen von einem Feedback an Apple – etwas unternehmen ?

Ob damals tatsächlich wichtige Informationen abgeflossen sind, ist wohl unmöglich auszumachen … ?

Geschweige denn, ob aktuell noch Passwörter von diesem Sicherheits-Leck betroffen sind. Das hiesse, endlich die Passwörter durcharbeiten und wichtige oder allfällige alte zu erneuern … ?

Gruss, nic

Soweit ich weiß wird diese Berechtigung für push-to-talk-Funktionalität benötigt. Bitte nicht immer gleich das schlimmste vermuten

Edit: etwas mehr Erklärung - Discord verwendet diese Berechtigung z.B. dafür, dass du in deinem Spiel sein kannst, aber gleichzeitig die Discord-Hotkeys für push-to-talk und ggf. andere Funktionen weiterhin aktiv sind. Ohne diese Berechtigung wären nur die Tastatureingaben der aktuell offenen App aktiv und du könntest Discord beim Zocken nicht bedienen. Was exakt Real Racing 2 damit macht, weiß ich natürlich nicht, aber ich vermute stark, dass es in dieselbe Richtung geht.

Ich bin gerade am überlegen, welchen praktisch notwendigen Zweck diesen Tastatureingaben-Zugriff haben könnte? @Tunnelbohrmaschine hat ja eine Erklärung genannt (war: „Mir fällt jedoch aktuell jedoch keiner ein. Daher könnte ein Keylogger durchaus im Bereich des möglichen sein. In diesem Fall würde mir bis auf die von Dir genannte Austausch der Passwörter nichts mehr einfallen.“)

Da man auf dem Mac Software nicht nur im Mac AppStore erhält sondern auch über den freien Download aus dem Netz eine Frage meinerseits:

Hast Du die App im Mac AppStore in deinem Apple Account als gekaufte App aufgeführt?

„App Store“ > [Apple Account] unten links > „Mac-Apps“

Oder hast Du ggf. noch eine digitale E-Mail-Quittung von dem Kauf?

Mich würde interessieren ob die App tatsächlich über den Mac AppStore bezogen, geladen und dementsprechend wirklich in dieser Version zuvor durch Apples App-Prüfung geleitet wurde.

P. S. Ich habe es in meinen Jahren mit macOS nicht erlebt, dass Apple Dritt-Anbieter Software mit einem Mac zusammen ausgeliefert hat. Insofern würde ich meiner Erfahrung nach nicht davon ausgehen, dass Du die Software mit dem Mac geliefert bekommen hast.

Das würde ich von meiner Seite bestätigen und mal hervorheben.

Danke für die Inputs.

[ups, der Unterbruch war ein unbeabsichtigter ShortCut]

Ja da hast du recht. Doch auch bei den Selbstdeklarationen im App Store wird es mit solch groben, pauschalen Freigaben unmöglich, eine klare Entscheidung zu treffen.

Ich werd paranoid, wenn ich mir überlege, was solche Rechte bedeuten könnten …

(Und wenn eine App (noch) nicht missbraucht wird … Wenn ich mir vorstelle, wie ich als Gauner vorgehen könnte, würde ich zB versuchen, solche Apps, die schon lang im Gebrauch sind und kaum mehr Sicherheits-Updates erhalten, zu kapern.

Aber ist ja wahrscheinlich auch nicht ganz trivial, an sowas ranzukommen. Doch wie soll ein Durschnitts-User das vernünftig beurteilen können … ?

Ja, ist sie (so hatte ich sie kürzlich auch wieder angetroffen).

Und es gibt tatsächlich eine eM-Quittung (damals noch von iTunes). Sie lautet über 5 CH-Fr für Version 2.

(Könnte der tiefe Betrag ein Hinweis dafür sein, dass die App in V1 bereits auf dem Rechner war?)

Kann sein, dass ich mich bei “Real Racing” täusche. Ich dachte, ich hätte den Kindern (abgesehen von den Käufen für ihre Rechner, die andere Spiel-Kategorien betrafen, wie MineCraft oder ein anders Spiel zum Häuser-Bauen und Einrichten) keine solche Action-Spiele gekauft. Dann war das vllt eine Ferien-Attraktion, wo wir für mehrere Apple-Geräte ein passendes Spiel gesucht hatten (kommt mir langsam wieder plausibel vor).

Neben dem vorinstallierten Schach gab es da aber andere Spiele: Eines, das vllt “Marbles” geheissen haben könnte (Geschicklichkeit) und ein Flugsaurier-Ballerspiel. Bei beiden bin ich mir immer noch sicher, dass sie vorinstalliert waren.

Bez Sicherheit – gerade was die Passwort-Manager angeht – scheinen mir Key Logger besonders schwierig.

In einem Live Hacking (Demonstration einer grossen deutschsprachigen Stadt durch deren IT Security) sah ich, wie einfach es ist, auch in ein gut geschütztes Netzwerk einzudringen (durch rel einfache Manipulation der Mitarbeitenden).

Dabei muss nicht ein sofortiger Schaden / Grund ersichtlich sein. Der verfügbare Zugriff auf unterschiedlichste Rechner kann ja auch zu Geld gemacht werden für spätere grössere Hacks …

Bei Key Loggern nützt es ja nicht mal, Passwörter ausserhalb eines Netzwerks zu verwalten …

Entsprechend sollten doch Key Logger-Aktivitäten auf Rechnern besonders gut von System/-Schutz beobachtet – oder eben Rechte von Apps besonders rigide – und sicher nicht so pauschal vergeben werden …

Ein gewisses Grundvertrauen in den Hersteller deiner Hard- und Software ist leider unentbehrlich. Jedes datenverarbeitende System kann dir irgendwas klauen, dankenswerterweise passiert das in der Praxis aber nicht. Und gerade bei einem Premium-Hersteller wie Apple gibt es tatsächlich einen ganzen Haufen (interne und externe) Sicherheitsexperten, die nach Schwachstellen suchen, denn wenn man bei Apple was findet, kann man sich eine goldene Nase verdienen und hat seine 15 minutes of fame. Das funktioniert in der FOSS-Welt ja nur so leidlich.

Ein klassisches, nicht supermodernes Linux mit X11 und schlimmstenfalls mit während Covid installierten und danach verwaisten Zoom- und Teams-Installationen ist im Vergleich zu macOS offen wie einen Scheunentor und kann dir trivial alles abgreifen, was auf deinem Rechner passiert. Dein macOS (solange noch mit Updates versorgt) spielt da bereits in einer ganz anderen Liga.

Hm… Sollte es zur Vertrauens-Bildung (-Erzwingung) nicht schon längst ein Log File des OS (oder besser eine Stufe darunter?) geben, das grundsätzlich alles festhält, was nicht von Usern selbst erstellt und versendet wurde – inkl Empfänger-Adresse und Link auf die Datei – rsp bei Löschaktivität – Kopie der Daten ?

(Der Druck, dass Verschlüsselungen mit genügend Zeit oder später mal geknackt werden können wäre der eine Schutz. Der andere, dass Empfangs-Adressen automatisch analysiert werden könn(t)en – zB anhand einer WhiteList(?) )

Dafür musst du trotzdem dem Hersteller vertrauen, dass er da alles richtig macht. Wenn du eine Stufe runtergehen möchtest, landet man im Bereich der Management Engines, denen gewisse (sehr laute) Nutzergruppen erst recht nicht vertrauen. Sowas ist ohne Rechteeskalation (und damit Schaffung weiterer potenzieller Verwundbarkeiten) nur sehr schwer möglich.

Dann müsste diese eine Komponente wohl auf OS-Stufe – und zwingend FLOSS sein – und deren lückenlosses Funktionieren dokumentiert, zB mittels Key Chain … ?

Gab es wohl schon solche Versuche ?

Sie würden das Thema “Vertrauen” auf eine neue Stufe heben

Müsste nicht zB die EU brennend daran interessiert sein ?

Wiki > FLOSS # Nutzung durch die EU

Es wird nur sehr schwer für das Betriebssystem unterscheidbar sein, welche Aktion eine Anwendung im Wunsch und Auftrag des Benutzer ausgelöst hat und welche Aktion ungewünscht durch die Anwendung selbst verursacht wurde. Daher wird es meiner Meinung nach so eine Protokollierung nicht geben.

Der zielführendere Weg ist es Anwendung vom dem Zugriff auf das umliegende System „auszusperren“ und jegliche übergreifenden Zugriffe explizit über das Betriebssystem anfordern und dann von diesem durch den Benutzer bestätigen zu lassen. Damit werden die Auswirkungen von Schadfunktionen stark begrenzt, solange diese nicht das Betriebssystem kompromittieren können.

Das Ganze fühlt sich dann so an wie Apples iOS / iPadOS wo jede Anwendung in Ihr „Jail“ gesperrt ist und für alle unter „Einstellungen App“ > „Datenschutz & Sicherheit“ aufgeführten Zugriffe und Dateien.App Zugriffe greift.

Tatsächlich sind viele „Einschränkungen“ von iOS gegenüber macOS aus dem Gedanken der Eindämmung von Schadfunktionen gedacht worden, machen aus diese Blickwinkel Ihren Sinn und stellen ein recht einfach zu verstehendes und funktionierendes Konzept dar. Aber natürlich ist es dann kein offenes „PC-Betriebssystem“ bei dem alle Anwendungen unter den Berechtigungen des Benutzers laufen und diese dadurch beliebig quer durch alle Daten des Benutzers schauen dürfen. Dieses beschränkt dann die möglichen Anwendungsfälle die Entwickler von Dritt-Anwendungen abbilden können.

Bei Android sammelt man also kein Fame und es ist nicht super schwierig den Code auf Schwachstellen zu analysieren.

Danke für das Eingehen auf die “Schnapsidee” eines “gebeutelten Users”.

Das heisst aber auch, du siehst kurz- und mittelfristig keinen offen-kontrollierbaren Weg, das blinde Vertrauen in ein überprüfbares zu transferieren ?

Kannst du das von deinem Hintergrund her abschliessend beurteilen ?

Oder macht es ev Sinn, das Thema woanders hinzutragen – und wenn ja, wohin ?

Mir scheint, das Geschehen in den USA zeigt, dass wir mit dem Weg des blinden Vertrauens rasch in eine Sackgasse laufen: Sobald Manipulation genügend um sich greift, wird es extrem wichtig, in welchem Machtumfeld Firmen und deren Server stehen …

Ich hatte es auch schon so formuliert: Hitler brauchte noch das Mittel der Denunziation – heutige Macht- und Kontrollregime dürften viel schneller sein …

Glit es also darauf zu warten, dass und ob die OpenSource-Gemeinde es schafft, rasch sichere und einfach zu bedienende Alternativen anzubieten, wo Vertrauen wieder auf viele, voneinander unabhängige Beine gestellt ist ?

Oder ist auch das Wunschdenken, da aufgrund der komplexen Hardware und -Bereitstellung der Blick auf die Software allein eh nicht reicht …?

Und da wären dann ja noch die unzähligen Online-Aktivitäten, wo wir – praktisch alle – gar nicht mehr lokal Daten bearbeiten und einige wenige pervers viel “verdienen” – und unheimliche Kontroll-und Manipulations-Risiken entstanden sind – und unzählige andere – finanziell oder kommunikativ – in deren Abhängigkeit geraten sind.

Alternative Bezahltformen wie contentpass oder freechoice scheinen sich zwar langsam zu verbreiten, dürften es aber schwer zu haben, an die wirklich wichtigen Adressen zu kommen …

Hm… diese Themen laufen hier im Forum wohl auch nicht mehr unter dem passenden Titel …

Hast du einen Vorschlag, wohin damit ?

Und wie, rein technisch ? Falls überhaupt, wahrscheinlich neu anlegen – und neu formulieren ? Es gibt wahrscheinlich keine “Fork-Funktion” ?

Ich weiß zwar nicht warum Du ständig zwischen fetter Schrift und Normalschrift hin- und her wechselst, aber es erscheint mir, dass Du sehr aufgeregt bist und es kommt bei mir so an als ob Du am Schreien bist.

Sicherheit ist immer ein Katz und Maus Spiel zwischen Angriffstechniken und Gegenmaßnahmen. Fertig wird man da nie und aufgrund der schieren Größe und hohen Komplexität der heutigen von uns genutzten IT-Lösungen wird auch niemand mehr fähig sein ein System vollständig durchblicken und prüfen zu können. Es wird also niemals jemand etwas „abschliessend beurteilen“ können.

Was jedoch passiert ist, dass

• Leute sich Teilaspekte ansehen und hierdurch neue Angriffsmethoden entdecken
• Systeme und Architekturen weiterentwickelt werden um eine Verbesserung der Sicherheit gegen solche Angriffsmethoden zu erreichen

Einen Beispiel hast Du mit Deinem Eingangspost genannt. Früher hat Apple nicht vor diesem Zugriff von „Real Racing 2 auf die Tastatureingaben aller Apps“ gewarnt. Heute gibt Dir das Betriebssystem jedoch eine Warnung und häufig auch eine gewisse Kontrollmöglichkeit.

Die Herausforderung ist jedoch einem Anwender nur die wichtigen Meldungen in einer Form zu präsentieren, dass dieser zweifelfsfrei versteht, was für ein Problem vorliegen kann und welche Folgen seine Entscheidungen haben. Denn wenn der Anwender genervt ist lernt er nur noch „Wenn ich o.k. drücke, verschwinden diese nervigen Warnmeldungen.“ und niemanden ist geholfen.

Als Anwender (und selbst die größten Experten nutzen Arbeit anderer und sind damit Anwender) musst Du schauen wem und für welche Bestandteile der von Dir genutzten IT-Systeme und -Dienste Du Dein Vertrauen aussprichst und wo Du ggf. tiefergehend selbst in die Analyse gehst und damit Kontrolle aufbaust.

Danke für den Hinweis. War mitnichten als laut gedacht.

Ich geh oft so meine Texte nochmals durch und schau, ob sie thematisch schlüssig / gegliedert sind – und find’s ganz praktisch, wenn ich sie später wieder überfliege. Dachte, das könnten auch andere nützlich finden. Aber hier ist’s “entglitten” und kaum mehr zu gebrauchen.

Vllt ist auch die Fettschrift des Forums nicht bei allen gleich deutlich.

Wie du sagst, das Dickicht ist undurchschaubar – für Laien sowieso. Und wenn Daten abgeflossen sind, ist’s eine Lotterie, wann und wie sie einen wieder einholen …

Die EU setzt ja nun offenbar vermehrt auf OSS.

Wär nicht das Hardware-Thema, hätt ich meine Hoffnungen nebst OSS auf gute Ad-/ware-Abriegelung und die Verbreitung von …

gesetzt – aber ich / wir werden wohl eh noch lang nicht zur Ruhe kommen mit diesen Themen …

Kannst du – oder jemand – für “geplagte” eine Spur geben, wo IT jetzt schon rel einfach und deutlich ruhiger (sicher, fair) ist ?

Ich werf mal “blind” mit Ausdrücken um mich, die mich so erreicht haben:

• Fairphone + GraphenerOS + … [App Hub] + … [Sammlung von Online-Plattformen] ?
• … [Laptop] / MintOS + … [App Hub] + … [Sammlung von Online-Plattformen] ?

Gern würd ich auch mehr Beiträge leisten, soweit möglich …

(bisher:

• freiwillige Beiträge zahlen
• Recherchen, Tests
• Feedback- und Input-Kanäle suchen – und versuchen zu nutzen
• Mund-zu-Mund-Propaganda
• nicht scheuen von Diskussionen)

… doch ist dies recht erschöpfend, weil schnell zu breit und im Handling oft sehr unterschiedlich …

Gibt es wahrscheinlich auch im Bereich OSS Bestrebungen, solche Dinge etwas zu vereinheitlichen und zu vereinfachen ?

Wenn ich Dich jetzt richtig verstehe, dann möchtest Du ein aus Benutzersicht möglichst privatsphärefreundliches Gesamtpaket aus Hardware, Betriebssystem, Online-Diensten um in der Benutzung weniger Gefährdungen Deiner Privatsphäre ausgesetzt zu sein.

Allgemein würde ich hier sagen

• „Weniger ist mehr“ beim Einsatz von Geräten, Apps und Diensten. Zum Beispiel wird der Aufruf von Webseiten eines Dienstes mit einem privatsphäre-freundlich konfigurierten Browser gegenüber den Apps der Anbieter typischerweise weniger Daten produzieren.
• Bei der Auswahl von Diensten orientiere ich mich erst einmal an dem Geschäftsmodell des jeweiligen Anbieters. Wenn sich dieser für Privatsphäre einsetzt und sein Geschäftsmodell auf der direkten Finanzierung durch seine Nutzer basiert, dann bringe ich diesem Unternehmen schon einmal mehr Vertrauen entgegen als bei einem Gratis-Dienst eines Unternehmens welches sein Geld mit Werbung macht.iner Hand anbietet. Hier gibt es keine universell Empfehlung die für jedermann gültig ist.

Abhängig von Deinen eigenen Ressourcen an Wissen und Zeit kannst Du dann mehr in Richtung aus OpenSource Software zusammengestellten Arbeitsgeräten und ggf. sogar selbstgehosteten Diensten gehen oder Dich eher bei einem Anbieter umsehen, der Lösungen aus einer Hand anbietet. Was es jedoch aus meiner Sicht am Markt nicht gibt, ist einen privatsphärefreundlichen Gesamtpaketanbieter der PC und Smartphone Hardware aus OpenSource-Systemen gebündelt mit integrierten Diensten zur Verbindung der genutzten Geräte und Anwendungen anbietet und damit die Aufwände für die Zusammenstellung der eigenen Lösung aus einer Vielzahl an Komponenten vermeidet (wie es z. B. Apple, Google oder Microsoft) anbieten.

Welcher Weg und Kombination aus Anbietern, Hardware, Software für Dich der sinnvolle ist, musst Du leider selbst herausfinden. Für mich persönlich ist meine Entscheidung auf Apple als Betriebssystem, Clouddienst und Hardware-Anbieter gefallen und ich versuche durch Ergänzungen meine Privatsphäre zu verbessern. Für Dich mag der Weg anders aussehen.