Seite 4: Eigenhändige Prüfung von Downloads

Inhaltsverzeichnis

Wer Programme jenseits des App Stores lädt, sollte auf der Webseite des Anbieters nach Prüfsummen Ausschau halten und sie verifizieren. Transmission etwa veröffentlicht auf seiner Download-Seite eine SHA-256-Prüfsumme, die quasi ein verkürztes, aber eindeutiges Abbild des Downloads darstellt (SHA: Secure Hash Algorithm). Mit einem Terminal-Befehl wie

openssl dgst -sha256 /Users/tsengler/Downloads/Transmission-2.92.dmg

können Sie die Prüfsumme verifizieren. Benutzernamen, Pfad und Dateinamen müssen Sie nicht eingeben. Es reicht, den Befehl bis einschließlich „-sha256“ gefolgt von einem Leerzeichen einzutippen und dann die zu untersuchende Datei aufs Terminal zu ziehen, dann fügt OS X alles dahinter automatisch ein. Apple selbst verwendet auf seiner Download-Seite das Hash-Verfahren SHA-1; in diesem Fall ersetzen Sie zum Prüfen einfach „-sha256“ mit „-sha1“. Heraus kommt im Terminal dann so etwas:

openssl dgst -sha256 /Users/tsengler/Downloads/Transmission-2.92.dmg SHA256(/Users/tsengler/Downloads/Transmission-2.92.dmg)=926a878cac007e591cfcea987048abc0689d77e7729a28255b9ea7b73f22d693

Download prüfen mit dem Automator-Workflow

Einfacher gehts mit unserem Automator-Workflow, den Sie einfach herunterladen und verwenden können. Installieren Sie ihn per Doppelklick, dann können Sie ihn per Rechtsklick auf eine Datei oder ein Disk-Image aktivieren. Er steht im Kontextmenü unter „Dienste/Checksummen-Prüfer“. Das Skript zeigt bequem die Prüfsummen für die Hash-Verfahren SHA-1, SHA-256 und MD5 an.

Ein 100-prozentiger Schutz vor Manipulation ist dies allerdings nur dann, wenn die Angreifer nicht auch die Möglichkeit hatten, die veröffentlichte Prüfsumme zu ändern. Wer die gewünschte Software bereits auf dem Rechner hat, aber ein Update benötigt, sollte die eingebaute Update-Funktion des Systems oder einer Anwendung dem manuellen Download stets vorziehen.

App-Sicherheit mit Sparkle-Framework

Manche Apps, zum Beispiel Pixelmator, Cyberduck oder GraphicConverter, verwenden das Framework Sparkle, das Manipulationen von Updates unmöglich macht, wenn der Entwickler es richtig einsetzt: Die App erhält dann einen öffentlichen Schlüssel, mit dem sie die Integrität und Authentizität des Updates überprüfen kann. Transmission-Anwender, die diese Funktion am 4. und 5. März nutzten, bekamen eine entsprechende Fehlermeldung angezeigt. Widerstehen Sie in einem solchen Fall bitte der Versuchung, auf ein manuelles Update auszuweichen! Welche Ihrer Apps Sparkle in welcher Version verwenden, können Sie übrigens mit dem Terminal-Befehl

find /Applications -path '*Autoupdate.app/Contents/Info.plist' -exec echo {} \; -exec grep -A1 CFBundleShortVersionString '{}' \; | grep -v CFBundleShortVersionString

herausfinden. Da in Sparkle selbst auch immer mal wieder Schwachstellen entdeckt werden, sollte man die Entwickler seiner Lieblings-App ruhig befragen, ob sie ihre App auf den neuesten Stand in puncto Sparkle bringen können. Aktuell ist Sparkle Version 1.14.0, die Kommunikation mit dem Update-Server sollte unbedingt verschlüsselt via HTTPS erfolgen, da Sparkle sonst anfällig gegen einen Man-in-the-Middle-Angriff ist.