Mac OSX Tipp: Google Malware - ksfetch (nobody) Meldung von Little Snitch entfernen

Wer die geniale Firewall-Software Little Snitch von Objective Development auf seinem Mac installiert hat, der ist sich der zunehmenden Gefahren durch versteckte Malware, ausspionierenden Apps und nach Hause telefonierender Software sicherlich schon bewusst.

Allerdings vermutet so manch einer sicherlich, dass sich dieses Spionage-Gebahren mancher Software auf kleine zwielichtige Software-Buden beschränkt, die auf das schnelle Geld aus sind. Das mag in der Mehrzahl der Fälle auch so sein, allerdings waren wir besonders überrascht, als wir in letzter Zeit von einem Prozess namens ksfetch (nobody) durch Little Snitch alamiert wurden, der ganz offenbar alle 15 Minuten eine Verbindung zu tools.google.com über den TCP Port 443 (https) herstellen will.

Besonders bemerkenswert: Egal ob ksfetch per Little Snitch erlaubt wird die Verbindung herzustellen oder nicht, die Nachfrage kommt immer wieder und liess sich nur mit einem Trick abstellen. Wie das funktioniert zeigt diese Mini-Anleitung.

Etwas googlen hat schnell gezeigt, was es mit ksfetch auf sich hat.

Der Prozess gehört offenbar zum Google Software Update, einer Library, die automatisch mit verschiedenen Google Applikationen unter Mac OSX installiert wird (u.a. Google Earth, Google Chrome, Google Gears und Goolge Picasa).

Soweit also nichts Ungewöhnliches, wenn das Google Software Update ab und an versucht mal nach Hause zu teloefonieren und nachzufragen, ob es denn vielleicht ein Update zu den installierten Google Applications gibt (ungewöhnlich nicht, aber nervig - auch das kann man dem User komfortabel in entsprechenden Einstellungen überlassen, ob er/sie einen entsprechenden Service nutzen möchte und in welchem Intervall).

Nun ist man sicherlich geneigt, das Google Software Update einfach auzustellen. In der Software (Google Earth, Google Chrome, Google Gears und Goolge Picasa) gibt es dafür leider keine Einstellungen. Also zeigt eine weitere Recherche bei Google, dass das GoogleSoftwareUpdate eine eigene Library ist, die man hier lokalisieren kann:

Library/Google/GoogleSoftwareUpdate/

Wer jetzt denkt, dass es einfach reicht das Verzeichnis zu löschen und der Spuk ist vorbei, der hat sich geschnitten… Die Google Apps haben alle einen Check eingebaut, die prüfen, ob das GoogleSoftwareUpdate Verzeichnis existiert und falls nicht dieses einfach automatisch “reparieren”…

Wem das noch nicht nah genug an der Definition von Malware liegt, der sucht mal nach einem Uninstaller oder einer Anleitung bei Google, wie sich das GoogleSoftwareUpdate entfernen lässt…

Geht nicht. Einen Uninstaller gibt es nicht. Die häufigsten Vorschläge sind, die Google Apps zu löschen und einfach auf Google Earth, Google Chrome, Google Gears und Goolge Picasa zu verzichten… Nicht gerade praktikabel…

Also bleibt nur ein Workaround, den wir auch selbst angewendet haben.

Dieser setzt die Rechte des Verzeichnisses Library/Google/GoogleSoftwareUpdate/ einfach so, dass das ksfetch nicht mehr gestartet werden kann.

Dazu einfach das Verzeichnis GoogleSoftwareUpdate im o.g. Pfad per Finder finden, dann mit der rechten Maustaste anklicken und im Kontextdialog “Informationen” anwählen.

Dann können ganz unten im aufgehende Fenster zum Verzeichnis die Benutzerrechte eingestellt werden.

Im Normalfall sind diese Rechte ausgegraut und können nicht direkt geändert werden. Ein Klick auf das Schloss in der unteren rechten Ecke des Fensters öffnet ein neues Fenster in dem man sich mit Benutzername und Passwort die Administrationsrechte holt.

Ist das Schloss einmal offen, sind die Verzeichnisrechte wie folgt einzustellen:

System: lesen & schreiben everyone: keine Rechte

Der Ordner erhält daraufhin ein “Einbahnstrassen-Schild” in der rechten unteren Ecke und die Meldung von ksfetch in Little Snitch verschwindet, da das GoogleSoftwareUpdate nicht mehr gestartet werden kann.

Hat der Trick bei euch auch geklappt? Habt Ihr eine bessere Lösung für das Problem? Was sagt Ihr zum Thema Malware bei Google?