News Free Download Manager: Offizielle Webseite verbreitete 3 Jahre lang Linux-Malware

[Tom_111]

Edit:
Aber Prinzipiell kann man mit sowas jetzt immer öfter rechnen, wo doch jetzt Linux schon über dem Marktanteil von Macos gekommen ist. (über 3%)

Im Januar 2023 hatte das Betriebssystem von Microsoft weltweit einen Marktanteil von rund 62,06%, macOS kam auf 18,96% und Linux lag mit 2,7% weit dahinter (Quelle: Statista).
Linux ist unbedeutend auf dem Desktop und trotzdem gitb es schon Malware dafür.

 

[Tralalah]

Alle die kein Linux verwenden sind generell dumm, Windows der letzte Schrott und als ob das nicht reicht, 90% der Linux User sind auch dumm weil sie Ubuntu oder ähnliches verwenden.

Das kann ich absolut nachvollziehen, dass Du das nicht magst. Aber:
1. sind das die Linuxnutzer, oder nicht eher die, die sich in Foren tummeln? (ich finde, seit die breite Masse im Internet unterwegs ist, sind Foren voll von Selbstdarstellern, das hat nichts mit Linux vs. Windows zu tun. Da wird dann lieber ne provokante These rausgehauen, Hauptsache, man wird wahrgenommen. Und andere User steigen natürlich genau darauf ein, weniger auf die sachlich-konstruktiven Kommentare, die es auch gibt)
2. Warum machst Du DEINE Entscheidung davon abhängig, wie arrogant andere User sind? Wenn man sein System erstmal am Laufen hat, braucht man Foren doch nicht mehr und dann kann es einem doch wurscht sein.

Wäre das Verhalten der Linux Community (und damit meine ist NICHT ALLE - sondern den "Harten Kern") anders, dann könnte man mit Linux auch mehr Leute hinter dem Ofen vor locken.

Will man das? Daher verstehe ich auch nicht die Bemühungen von Linuxusern, andere von Linux zu überzeugen. Wenn Linux von ähnlich vielen Leuten genutzt wird, wird es auch mehr Malware geben. Gut, dabei fällt dann vielleicht auch ein bisschen mehr Manpower ab, um Linux weiterzuentwickeln.
Allerdings halte ich nicht viel von der breiten Masse, siehe meine obigen Beschreibungen zur "breiten Masse im Internet". Wer weiß, wie sich das auf die zukünftige Qualität von Linux auswirkt (da meine ich jetzt nicht die Weiterentwicklung durch "neue", sondern die Bedürfnisse der Neuen insgesamt, die kundgetan werden und derer sich angenommen wird. Da hätte ich die Befürchtung, dass dann Linux auch nicht mehr so ist wie vorher).

Wartet den Tag ab, an dem Linux einen Desktop Marktanteil von 95% hat. Dann werden wir sehen, auf den sich die ganzen Scammer, Malware und Viren Spezialisten stürzen. Im Moment ist Linux für die einfach nur uninteressant...

 

[cbtestarossa]

Würde gerne Manjaro verwenden.
Leider spießt sich das irgendwie mit SecureBoot am neuen Notebook und ich bin vielleicht auch zu dumm es irgenwie zu installieren dass es damit funktioniert.
Am PC könnte ich ja noch alles abstöpseln und herumexperimentieren ohne Angst haben zu müssen irgendwie die Windows Installation zu beschädigen.
Am alten Notebook mit BIOS gehts sowieso.

@Topic
Linux ist wie man sieht genauso anfällig wie Windows und ohne AV Guard und PersonalFirewall wird sich das auch nicht ändern.

 

[aLanaMiau]

Hatte auf meinem Linux System auch schon mehr Malware als auf meinem Windows-PC, dank der tollen transparenten Paketmanager.

 

[Tralalah]

@aLanaMiau: Wie hast Du das festgestellt, dass Du Malware hast?

 

[BrollyLSSJ]

Vermutlich. Ich wüßte nicht, was Sicherheitswarnungen und -Vorfälle mit Politik zu tun haben. Eine Lücke ist eine Lücke.

Ich glaube in dem Fall geht es aber nicht um eine Lücke (mit dem die Schadsoftware hier geladen wurden), sondern @der Unzensierte bezog sich mit der Aussage auf Kaspersky. Kaspersky wurde zwar nicht verbannt, aber es wurde vom BSI geraten es nicht mehr zu installieren, weil Putin hier seine Finger im Spiel haben könnte. Da ist aber nichts von bewiesen. Daher wird es als politische Entscheidung (die USA sagt, Kaspersky ist Böse, also geben wir mal eine Info raus, dass die Russen Software nicht mehr auf wichtigen Computern, wie z.B. bei Behörden, installiert werden sollte) angesehen. Das meinte @der Unzensierte , bzw. interpretiere ich das so, dass er das meinte.

 

[nutrix]

Ich hab das schon verstanden, aber warum stellt man dann mit nur eine Meldung gleich das ganze BSI in Frage, das ist doch Unsinn. Das BSI macht doch viel mehr, als sich nur um Virenscanner zu kümmern.

 

[Alexander2]

JDownloader2 gibts auch nicht per Paketmanager

Hat sicher jetzt schon jemand erwähnt, aber das hängt dann doch von der DIstro ab. Und bei Manjaro gibt es das per Paketmanager aus dem AUR - wobei man beim AUR auch evtl aufpassen sollte - oder eben hier gerade auf tumbleweed nach dem schauen im Repo wo es das tatsächlich nicht gab habe ich per discover nach einem flatpak geschaut, was es auch gab. statt das von irgendeiner Website herunterzuladen klapper ich immer erst alle typischen Linux Repo und co. quellen ab.

Das es eine 100% ige Sicherheit nicht gibt hatte ich ein einem Post zuvor ja schon erwähnt. Aber diese Quellen die ich Primär anlaufe gewährleisten zumindest schonmal eine größtmögliche kompatibilität inklusive inem sauberen System mit dann automatischen updates.
Und das ziehe ich doch jederzeit irgendeinem Linux paket von eienr Website vor. Wobei das nicht heißt, das in fällen wo das eben die einzige Quelle ist, dann muss es halt sein, wenn man auch unbedingt das Programm braucht/haben will...

 

[aLanaMiau]

@aLanaMiau: Wie hast Du das festgestellt, dass Du Malware hast?

Durch einen ASCII-Kackhaufen in der Shell.

 

[Alexander2]

Freue mich schon riesig auf das AddOn für Cyberpunk in maximalen Settings.

Werd ich mir beizeiten ziemlich sicher auch mal reinziehen, wenn ich mit all den anderen Spielen mal zu potte komme ist nicht mehr einfach mit Linus und SPielen, jetzt gibts sooo viele (alle) da muss man schon auswählen, was man überhaupt noch spielt.

Sehe da auch kein Problem das direkt aus dem Steam repos per automatischen proton Nutzung mit allen Details zu Zocken. Das sind alles so Offizielle quellen, wie es nur sein kann. Wenn da nen virus oder sonstwas rumgeschickt wird, dann schicken die (wer auch immer) das zu jedem.
:-)

Ergänzung (14. September 2023)

Würde gerne Manjaro verwenden.
Leider spießt sich das irgendwie mit SecureBoo

Soweit ich das weiß kann Manjaro halt kein Secureboot (automatisch) - installieren musst du das mit abgeschaltetem und dann von hand einrichten, soll da wohl Anleitungen geben. Aber vermutlich würde ich da dann eher eine Distri nehmen die das von Haus aus passend installiert, wenn man denn unbedingt secureboot anhaben muss.

Uefi geht ja auch ohne secureboot. Zuhause am eigenen PC sehe ich nicht, was ich von secureboot habe. Spiele die das vorraussetzen Spiele ich derzeit jedenfalls nicht, wobei die wohl generell auf seiten von Linux, selbst wenn das damit liefe "zu knicken" sind :-)

 

[JustAnotherTux]

Checksummen anbieten wäre auch ne Lösung

Die Signatur wird ja auch auf die Checksumme angewendet, die Checksumme alleine ist nicht so sicher.

Also mit dem Public key von dem Entwickler kannst du die verschlüsstele Checksumme entschlüsseln, bzw. wenn das nicht funktioniert dann ist diese nicht von dem Entwickler verschlüsselt worden.

Dann wird diese entschlüsselte Checksumme mit der Checksumme der ISO verglichen.

 

[cmdr_nemesis]

Ich weiss nicht von welche problematischen Linux Updates du sprichst, das wär mir so noch nicht untergekommen und ich arbeite als Linux Engineer. Hast du dafür auch konkrete Meldungen? Welche Probleme gabs denn in letzter Zeit bezüglich Linux Server? Nenn mir mal ein paar.

Das System das immer wieder von sich reden lässt ist Windows.

Wer Windows für ein Server System einsetzt kann man doch nicht für voll nehmen.

Falls du mit Windows nie Probleme hattest dann hast du sicherlich schon die ganzen Probleme mit den fehlgeschlagenen Updates vergessen, bei denen ein Rollback vonnöten war...

Den hier schon vergessen?
https://www.qtithow.com/2021/01/How-to-fix-error-code-80072EFE.html

Natürlich kümmert dich Telemetriedaten-Diebstahl und überwachung auch nicht . Kann es nicht, wenn du Windows nutzt.

Wir benutzen sowohl Windows Server als auch Linux Server. Aber wie du so schön schreibst, Leute die auf Windows Sieger setzen kannst du nicht für voll nehmen.
— Dann brauchen wir uns nicht zu unterhalten. Du lebst in deiner eigenen Welt und jeder ist dein Feind. Du bist der beste… genau wieder andere Spezi dem ich geantwortet habe.
Seltsam ist nur, dass immer die Möchtegern Linux Experten immer versuchen, andere schlecht zu machen.👍🏼

 

[cbtestarossa]

Naja will ned Klugscheissen aber Linux hat es mir schon öfters mal total zerschossen.
Und mit Updates die sich wegen Abhängigkeiten nicht auflösen lassen hab ich auch schon öfters Erfahrung gemacht.

Und seltsamerweise machte Manjaro noch die wenigsten Probleme.
Hab Mint, Susi und Kubuntu am Laufen gehabt.
Von Debian red ich gar nicht denn die uralten Browser die da daherkommen kannst vergessen.
Dann kannste gleich alles ohne Paketmanager installieren was natürlich eher nicht so tolle ist.
War aber eh auch bei Susi früher der Fall.

Und das geilste ist dann wenn der Mist nicht mal ne LAN Verbindung über DHCP einrichten kann.
Wieder mal alles manuell eintipsen bei gefühlt 3 verschiedenen Stellen.
Naja und die Codecs und Sound. Was für ein Horror.
Wenigstens erkennen die neueren Kerne schon die meisten Grakas und der Monitor bleibt nicht schwarz.

Glaubt von denen echt einer ich investiere für so banale Dinge sinnlos Lebenszeit und strapaziere Nerven mit RTFM Ratschläge oder endlose Shell Kommandos?
Ich kapiere sowieso nicht wie sich so ein Dinosauriersystem aus den 60/70ern überhaupt noch halten kann.
Wird echt Zeit mal für was ganz neues.

Und was gut für Server taugt muss noch lange nicht für Clients gelten.
Das kapiert selbst M$ mit der tollen FW und dem noch schrottiger bedienbaren und verbugtem AV nicht.
Von nicht angelegten Systemwiederherstellungspunkten, wegrationalisiertem Bootmenü (F8) und fehlendem ImageBackup ganz zu schweigen.

Hauptsache sie toben sich ständig bei der GUI aus und machen alles noch unbenutzbarer.
Echt der totale Wahnsinn was da abgeht.

 

[zEtTlAh]

Warum machst Du DEINE Entscheidung davon abhängig, wie arrogant andere User sind?

Der Vergleich hinkt jetzt zwar ein wenig - man verzeihe mir - aber das ist so ähnlich wie mit LGBTQ. Ich habe nichts gegen anders denkende oder anders orientierte. Aber wenn sie anfangen mich zu nerven, mein Leben einschränken, dann ist Schluss. Beispiel Supermarkt: Kund:innen. Ich bin kein verdammter Kund, ich bin ein Kunde. Das ist Diskriminierung. Aber wenn das eine Minderheit macht, ist es ja ok.

Bei Linux ist das so ähnlich. Man ist sich ja noch nicht mal untereinander grün, welche Distro die beste ist. Und meldet man sich in einem Forum oder Chat, weil man nach Ideen oder Hilfe sucht, dass wird man erst mal runter gemacht, dass eh alles falsch ist. Und wenn man nichts mehr sagt, zerfleischen sie sich gegenseitig. Sieht man ja auch hier im Threat.

Und das schränkt mich eben sehr ein. Man will Hilfe und wird nur für Dumm hingestellt. Also nimmt man sich der Generallösung eines selbst ernannten Experten an und wird dann von anderen beleidigt.

Ja, es sind die "Extremisten". Aber genau die machen es kaputt. In einem Microsoft Forum/Chat ist mir das noch nie passiert. Außerdem will ich auch nicht in kleinste Installationen (einer der Vorredner hat es beschrieben) unendlich Zeit stecken. Sei es wegen der Machbarkeit oder Aufwand der Informiererrei. Linux erinnert mich in vielen Fällen an Bastelei.

Da hätte ich die Befürchtung, dass dann Linux auch nicht mehr so ist wie vorher

True... True...

@Topic
Ich finde es eher schockierend, dass es so lange gedauert hat, bis es bemerkt wurde. Das sieht man natürlich auch auf anderen Plattformen und noch mehr bei Hardware Sicherheitslücken. Aber wenn man immer wieder ließt, wie sicher Linux ist, dann lässt mich dieser Fall doch stark daran zweifeln (was ich so oder so tue).

 

[LochinSocke]

Dann nehmt halt erstmal Linux in der Waschmaschine.

https://www.roeschswiss.com/de/11_linux

 

[kim88]

Debian = Ubuntu = Mint sind eine Menge an Personen mit fast keinem Grundwissen. Es fehlen auch die Kenntnisse wie das System generell funktioniert. Das sieht man an der Qualität der Fragen und Antworten von diesen Bugs und Foren Usern. Ich beobachte das Zeug seit 2006 aktiv.

Und das Wissen und die Hintergrundkenntnisse werden bei einem Gentoo linux Nutzer eher mehr sein.
Ein Arch linux oder Slackware User hat mittlere Kenntnisse, aber keine tiefgreifenden Kenntnisse. Sieht man an den Foreneinträgen / Wiki / Foren Posts mit Fragen und Antworten.

Das ist lächerliche Verallgemeinerung und ich würde der hier auch komplett widersprechen. Viele die ernsthaft Software für Linux entwickeln nutzen sehr bewusst Distributionen wie Debian/Ubuntu/Mint. Mit denen hat man die Garantie, dass wenn man Morgen den Rechner einschaltet das dort auch alles so funktioniert wie gestern obwohl man noch Sicherheitsupdates eingespielt hat.

Ehrlich gesagt kenne ich kaum einen Software Entwickler der mit Arch, Gentoo oder sowas entwickelt. Diese Systeme benötigen relativ viel (eigene) Zeit in Systempflege und wenn Sofwareentwickler etwas nicht haben das ist es Zeit.

Aber Linux soll doch so sicher sein

Hier hast du das selbe Problem wie unter Windows oder MacOS. Die Software wurde hier von einer "Webseite" heruntergeladen und installiert.
Das ist eben genau das was man nicht tun sollte. Linux ist sicherer solange man nur die Software über die Distributionspaketquellen bezieht.

Wenn ich mir irgendeine Software von irgendwo herunterlade muss ich 1. immer darauf vertrauen das der Entwickler der Software nichts "böses" im Schilde führt. Und 2. Das das *.exe, *.dmg oder *.deb" nicht von einem dritten manipuliert worden ist.

Bedeutet wenn du unter Linux alle deine Software von random Webseiten runterlädst bist du da nicht wirklich sicherer als bei Windows.

Am "sichersten" dürfte hier noch Mac OS sein. Da dort (ohne tieferen Gebastel) nur Software läuft die von einem Key (die nur an Entwickler ausgegeben werden) signiert sind.
Der Entwickler kann immer noch "böse" sein. Aber die Chance, dass du eine manipulierten Installer runterlädst ist damit geringer.

Auch wenn der Fall am Ende nicht eindeutig bewiesen ist, sehe ich hier im Threat wieder genau den Grund, warum ich mich nach über 10 Jahren von Linux getrennt habe (blankes Debian + Gnome). Das haben die Posts einiger Pro Linux User mal wieder gezeigt.

Alle die kein Linux verwenden sind generell dumm, Windows der letzte Schrott und als ob das nicht reicht, 90% der Linux User sind auch dumm weil sie Ubuntu oder ähnliches verwenden.

Ich gehe mit dir einig, dass die Linux Community furchtbar toxisch ist. Ob das nun ein Grund ist sein OS zu wechseln bezweifle ich allerdings.

 

[FDM_Team]

Greetings from the Free Download Manager team. We acknowledge the reports regarding the security concerns and assure you that we're actively investigating their history. As of now, all links on the FDM website are secure and functional. For a comprehensive overview of the situation, we've made an official announcement on our website. We encourage everyone to get more insights here: https://www.freedownloadmanager.org/blog/?p=664

 

[LochinSocke]

Thanks for the clarification.

Why did you decide to make the program closed sorce again?

 

[zEtTlAh]

https://www.freedownloadmanager.org/blog/?p=664

Cooles Statement, mit klaren Ansätzen der Volksverdummung:

"Only a small subset of users, specifically those who attempted to download FDM for Linux between 2020 and 2022, were potentially exposed. It’s estimated that much less than 0.1% of our visitors might have encountered this issue."

• Die die es runtergeladen haben wurden exposed
• Sind aber zum Glück weniger als 0,1% der Besucher insgesamt

Was hat jetzt die Anzahl der Besucher insgesamt mit den ausgespähten zu tun ?

"Meine Automarke ist absolut Pannensicher denn sie hat weniger Pannen als 0,00000001% der Autos aller Marken zusammen..."

 

[BrollyLSSJ]

Von nicht angelegten Systemwiederherstellungspunkten, wegrationalisiertem Bootmenü (F8) und fehlendem ImageBackup ganz zu schweigen.

Du redest hier von Windows 10 und 11 oder? Also das F8 Bootmenu konnte man zumindest bei Windows 10 noch nachträglich wieder aktivieren. Kannst du sogar als extra Eintrag im Bootmenu anlegen. Habe ich bei Windows Server 2016 (und ich meine auch schon bei Windows Server 2012 R2) machen müssen.

Wenn ich mir irgendeine Software von irgendwo herunterlade muss ich 1. immer darauf vertrauen das der Entwickler der Software nichts "böses" im Schilde führt. Und 2. Das das *.exe, *.dmg oder *.deb" nicht von einem dritten manipuliert worden ist.

Wobei das im Prinzip auch auf die Paketmanager zutrifft. Bei Arch werden ja alle Nase lang die Schlüssel im KeyRing ausgetauscht. Und ich meine, dass es da auch schon mal einen Sicherheitsvorfall gab (oder bei einer anderen Distribution) wo so ein Key kompromittiert wurde. Wollte ich aber auch nur der Ergänzung halber drauf hinweisen.