Frage von windoofhater, 4

Kann ein Skript Viren Berechtigungen geben ( Android iOS Chromium OS )?

Folgendes Szenario: 1 Ich Rufe eine Website auf 2 Ein Skript wird ausgeführt, dadurch wird ein Virus etc. geladen 3 Anstatt Gesandboxt zu werden bekommt der Virus Berechtigungen für die Kamera Frage: Geht das durch einen Skript? Wird der nicht auch Gesandboxt? Wenn der Skript Gesandboxt wird, kann das oben genannte dann überhaupt passieren?

Antwort
von FaronWeissAlles, 2

Eine Webseite kann durchaus auf die Webcam zugreifen. Mit HTML5 kamen neue Multimedia-Möglichkeiten dazu. Allerdings geht das nicht ohne die Nutzer-Einwilligung.

Es dreht sich alles um den Browser. Er hat die JavaScript-Engine eingebaut die den Code der Webseite ausführt. Und er ist auch derjenige der den Code in einer Sandbox laufen lässt. Es gibt zwar Möglichkeiten an Dateien und Geräte zu gelangen, aber das darf nicht das Skript selbst sondern macht der Browser stellvertretend. Es gibt daher nur 2 Möglichkeiten für ein bösartiges Skript: den Browser fragen (der dann aber den Nutzer fragt bzw. es auch verneinen kann - je nach Einstellung) oder einen Programmierfehler des Browsers ausnutzen. Sollte es einen passenden geben, kanns natürlich passieren dass es eine Lücke gibt, durch die Schadcode eingeschleust wird, der dann die eigentliche Schadware herunterlädt und startet, die dann auf dem PC wütet. Und das läuft dann nicht mehr in einer Sandbox sondern unter Standard-Benutzerberechtigungen. Und das bedeutet Zugriff auf Webcam, persönliche Dateien und Internet sind nach Belieben erlaubt (nur systemrelevante Dateien und Einstellungen nicht, die brauchen immer noch Adminrechte)

Kommentar von windoofhater ,

Hallo Faron Danke für deine Antwort du hast mir sehr geholfen. was sind denn diese neuen Möglichkeiten durch HTML5? Geht das damit auch nur so wie du weiter beschrieben hast? Also kann man mit einem Bösartigen Skript keine Berechtigung Verteilen?

Kommentar von windoofhater ,

Und noch etwasfällt mir ein kann man mit dem anstecken eines Speichermediums ( Micro SD, bei manchen Android Tablets USB auch ungewollt eine Berechtigung Vergeben oder wird das auch Gesandboxt ?

Kommentar von windoofhater ,

Und noch ein Kommentar von mir: Können die Berechtigungen des Browsers durch Scripte oder Durch Hacker ausgenutzt werden oder geht das auch nicht wegen Sandboxing?

Kommentar von FaronWeissAlles ,

HTML5: http://www.drweb.de/magazin/html5-ueberblick/

Und noch etwasfällt mir ein kann man mit dem anstecken eines Speichermediums ( Micro SD, bei manchen Android Tablets USB auch ungewollt eine Berechtigung Vergeben oder wird das auch Gesandboxt ?

Da wird nix gesandboxt, da läuft aber auch nix was gesandboxt werden müsste. Autostart ist bei USB seit ewigen Zeiten deaktiviert. Es sei denn man nutzt eine Sicherheits-Lücke aus. Hier erwähnenswert wäre "BadUSB", einfach mal googeln für mehr Infos darüber

 Können die Berechtigungen des Browsers durch Scripte oder Durch Hacker ausgenutzt werden oder geht das auch nicht wegen Sandboxing?

Das ist doch genau das was ich erklärt habe: Nutzen die Skripte eine Lücke des Browsers aus kann eine Schadware eingeschleust werden die Nutzerberechtigungen (wie der Browser auch) hat.

Bei Android ist die Gefahr aber nicht so hoch wie bei Windows, da Android wesentlich restriktiver ist was der Nutzer darf und allgemein ein besseres Sicherheitskonzept hat als Windows

Kommentar von windoofhater ,

Hallo Faron,

jetzt bin ich doch ein bisschen verunsichert. Ich dachte bei Android und Co wird alles gesandboxt auch das kleinste Skript. Wenn das Skript gesandboxt werden sollte, wird es dann zusammen mit dem Browser oder wieder alleine gesandboxt? Wenn es mit dem Browser gesandboxt wird, dann brauchts , wenn ich das richtig verstanden habe schon eine Sicherheitslücke das die Berechtigung des Browsers oder auch die einer anderen App ausgenutzt werden kann?

Wenn ich z.B. mein Smartphone mit einem anderen Verbinde, dann könnte doch das präparierte Smartphone des anderen sich doch Berechtigungen auf meinem verschaffen? Ich dachte immer auch solche Aktionen werden gesandboxt?

Keine passende Antwort gefunden?

Fragen Sie die Community

Weitere Fragen mit Antworten