Discord / steam : Ist ein unerlaubter Zugriff auf andere PC's möglich?

Nein. In so einem Fall liegt das Problem eher woanders.

 

Danke zunächst für die schnelle Antwort!

Mein Kumpel behauptet dies mehrfach und beschreibt, welche Dateien auf einen anderen PC lagen. Dies konnte er nur wissen, wenn er auch einen Zugang hatte. Anzügliche Bilder von einer Person, die er GENAU (!) beschreiben konnte und diese Informationen bestimmt nicht von der betreffende Person hatte.

Frage das auch für mich, damit ich Gegenmaßnahmen ergreifen und mein weiteren (betreffenden) Kumpel warnen kann!

Ich frage mich auch, ob STEAM dies ermöglicht hatte. Freunde als "Vertrauenswürdig" einstuft!? Da gibt es doch eine Kategorie bei steam?
Finde diese

 

"Frage für einen Freund" jaja...

 

Nein, man kann über Steam nicht einfach auf die Platte anderer zugreifen. Oder Discord. Wenn, dann ist das auf einem anderen Weg passiert. Trojaner, oder ein anderes Programm welches das ermöglicht.

 

WO STEHT, dass ich für einen Freund frage?
Mit meiner oben genannten Frage möchte ich wissen, ob es wahr ist, dass dies möglich ist!?

 

Wenn dem so wäre, wär quasi jeder Computer stark gefährdet, was nicht der Fall ist.

Die Leute, die eventuelle Sicherheitslücken in Steam / Discord effektiv ausnützen könnten, haben ganz bestimmt kein Interesse an Leuten wie dir oder mir. Die haben besseres zu tun.

 

NUN. DANN, https://www.giga.de/artikel/frage-fuer-einen-freund-sprueche-und-bedeutung-der-redewendung/

 

Discord ist eine Electron App und Exploits wie zum Beispiel diesen hier (mittlerweile gepatched) wird es prinzipbedingt* immer wieder geben:
https://github.com/0x44F/discord-zeroclick-exploit

Es ist grundsätzlich sicherheitstechnisch eine schlechte Idee so etwas wie Discord zu "installieren" anstatt dafür einfach einen immer aktuell gehaltenen Browser zu verwenden.

*Das Problem ist halt, dass wenn Sicherheitslücken in Bestandteilen von Electron wie Chromium oder Node JS bekannt werden und dort gefixed werden, müssen die natürlich auch in Electron gepatched werden und dann vom Hersteller der Apps auch neue Pakete bereit gestellt werden. Im Idealfall geht das schnell. Aber es ist natürlich immer ein Risiko, dass da zu viel Zeit vergeht.

Mal ganz abgesehen davon, dass es leider auch immer noch zu viele Endbenutzer gibt, die ihre Software nicht aktuell halten.

 

Jetzt ungeachtet von steam und discord.
Wenn die Anwendung deine jetzt genutzte IP Adresse rausgibt (z. B. bei direktverbindungen zum datentausch, Voicecalls etc....... wenn es nicht über eine "neutrale" stelle geleitet wird/die IP verschleiert wird) kann theoretisch jeder auf das Gerät damit zugreifen wenn nicht entsprechend abgesichert. (oder besser gesagt, wenn es ungeachtet jeden Zugriff von außen gewährt).


Im Normalfall sollte das aber wie über mir geschrieben nicht ohne das ausnutzen von schwachstellen möglich sein...

 

Jedes Programm, das Adminrechte hat, kann unbegrenzten und unbemerkten Zugriff auf den ganzen PC ausüben. Und Windows hat immer noch keine konsequente Trennung von admin- und useraccounts, weil es da zu fummelig ist.

Nicht installieren bzw. in einer VM laufen lassen. Ok, praktisch schwierig.

 

Naja... Windows kennt das Konzept des Hauptbenutzers, der im Alltag zwar "nur" normale Rechte hat, aber mittels UAC-Abfragen nach höheren Rechten fragen darf. Leider erlaubt der UAC-Mechanismus auch, Anfragen "einfach so" ohne Benutzereingabe durchzulassen, lt. Microsoft immer dann, wenn das System erkennt dass der Benutzer genau dies tun will. Um diesen Automatismus abzustellen, kann man in der Klassischen Systemsteuerung den UAC-Regler ganz nach oben schalten, dann mogelt sich da nichts mehr ohne expliziten UAC-Dialog bis zu Admin-Privilegien hoch.

Wer das nicht will, kann sich über die Management-Konsole > Computerverwaltung auch einfach einen "Benutzer"- und einen "Administrator"-Account erstellen. Der Benutzer-Account fragt dann immer explizit nach dem Administrator-Kennwort (welches auch eingegeben werden muss), bevor irgendeine Software installiert oder generell eine Admin-Tätigkeit durchgeführt wird. Es GIBT eine konsequente Trennung von Admin- und Useraccounts, die wird unter Windows nur standardmäßig nicht so umgesetzt... (der Vollständigkeit halber erwähnt: Im Betriebsumfeld ist sowas längst Standard...)

Windows kennt seit XP SP2 auch eine integrierte Firewall, die Zugriffe von Außen standardmäßig garnicht erst zulässt, solange man diese nicht aktiviert. Anwendungen können aber den Benutzer fragen, ob eine Verbindung zu diesem oder jenem Programm und/oder Port erlaubt sein soll, und kann die Eingabe natürlich auch dauerhaft abspeichern. Ist in der Regel so ein Dialog:

Spoiler

Natürlich sollten auch alle Updates zu jeder möglichen Software, allen voran das Betriebssystem ("Windows-Updates"), auf dem neuesten Stand sein. Es kommt immer mal wieder vor, dass eine Anwendung auf absichtlich falsche Anfragen so "falsch" reagiert, dass dieser Kontrolle über die Software mit Sicherheitslücken übernehmen kann (das war jetzt SEHR einfach formuliert, in der Realität ist das Ganze natürlich ein Stück weit komplexer...).

Last but not least: Jeder Billig-Router hat außerdem eine sog. Stateful-Firewall integriert. Vereinfacht gesagt: Standardmäßig leitet der Router nur Antworten aus dem Internet zum PC weiter, nach denen der PC extra gefragt hat. Selbst mit veralteten Windows-Updates, deaktivierter Windows-Firewall und einem Benutzer mit Adminrechten ist es nicht "einfach so" möglich, nur anhand der IP-Adresse auf den PC zugreifen zu können. Dazu müsste man am Router selbst auch z.B. Portforwarding aktiviert haben... Dann muss auf der "Gegenstelle" (also dem PC) auch noch eine Software an genau diesem Port lauschen, der Anfragen entgegennimmt und, nach entsprechend manipulierten Anfragen, so zur Waffe für den Angreifer wird.

Nur um das klarzustellen: Wenn es ein Angreifer wirklich so sehr darauf abgesehen hat, Direktzugriff auf den eigenen PC zu erhalten, dann können das auch andere. Dann hat der Angegriffene ein viel größeres Problem und sollte sich eher damit beschäftigen, sein Betriebssystem auf seinem PC neu aufzusetzen... Wenn sowas ständig und immer wieder passiert, sollte man seine Software-Nutzung hinterfragen, da darunter offensichtlich eine Software ist, die eine permanente Sicherheitslücke erschafft...

Speziell zu Discord: Ich weiß nicht warum, aber Discord frisst sich bei mir tatsächlich so blöd ins System, dass es immer mal wieder meinen Audiotreiber abstürzen lässt und damit sogar einen Bluescreen verursacht. Die Software kann ich eh nur im Browser nutzen...

Aber Nein, standardmäßig sorgen weder Steam noch Discord dafür, dass man Zugriff auf den PC vom Internet erhält (solange man bei beiden keine entsprechende Optionen aktiviert). Je einfacher das irgendwelche Scriptkiddies durch Fehler in der Software schaffen, desto schneller wird so ein Fehler vom Hersteller mit einem Update behoben (natürlich unter der Voraussetzung, dass es den Hersteller noch gibt. Wer 20 Jahre alte Software mit Netzwerkinfrastruktur-Zugriff ohne ein Sicherheitskonzept einsetzt, ist - salopp formuliert - selbst Schuld). Natürlich hat kein Softwarehersteller was davon, wenn leicht ausnutzbare Sicherheitslücken seiner Software bekannt werden und auf allen möglichen "IT-News"-bezogene Seiten die Runde machen...