Göm filer och kataloger från finder i Mac OS
| 
Skrev till Apple häromdagen om en liten bugg jag hittade i Finder när jag testade en applikation för sårbarheter.
Som de flesta Mac-användare vet så kan man i Mac OS Finder applikationen (som utforskaren/den här datorn i Windows) välja att visa gömda filer genom att i Terminalen skriva:
defaults write com.apple.Finder AppleShowAllFiles YES
Detta ska slå på funktionen i Finder för att visa gömda filer i filsystemet. Filer som .DS_Store och andra gömda eller systemfiler syns då i Finder i lättare ljusgrå nyans.
Det finns dock ett hittils odokumenterat sätt att kringgå visning i Finder (och visning genom kommandot "ls" i Terminalen). Genom att döpa filen eller mappen till "._filnamn" så kan varken Finder eller "ls" hitta filen alls (ls -al i terminalläge avslöjar dock filen eller katalogen, precis som vanliga filer och kataloger med prefixet ".").
Vi testar..
jonathan$ mkdir test
jonathan$ pwd
/Users/jonathan/security/test
jonathan$ mkdir ._hidden
jonathan$ cd ._hidden
jonathan$ pwd
/Users/jj/security/test/._hidden
Öppna Finder och gå till katalogen - tomt!
Detta fungerar för både filer och kataloger. Kan potentiellt nyttjas av malware, rootkits eller andra verktyg för att dölja filer/aktivitet. Många användare använder
sig av Finder för att navigera i Filsystemet och de som slagit på AppleShowAllFiles förväntar sig också att alla filer visas!
Proof of concept. Skapar och kompilerar binär samt exekverar denna och gömmer sig från Finder.
jonathan$ mkdir ._test jonathan$ cd ._test jonathan$ python -c "import base64;import io; f = open('._concept.c','w'); f.write(base64.b64decode('I2luY2x1ZGUgPHN0ZGlvLmg+CmludCBtYWluKGNoYXIgKmFyZ3ZbXSwgaW50IGFyZ2MpCnsKCXByaW50ZigiVGhpcyBpcyBhIE1lc3NhZ2UuIENvdWxkIGhhdmUgYmVlbiBzb21ldGhpbmcgZWxzZSB0aG91Z2ghXG5cbiIpO3JldHVybiAwOwp9'));f.close()" jonathan$ gcc ._concept.c -o ._concept jonathan$ ./._concept
| Nästa > |
|---|
