Wer die geniale Firewall-Software Little Snitch von Objective Development auf seinem Mac installiert hat, der ist sich der zunehmenden Gefahren durch versteckte Malware, ausspionierenden Apps und nach Hause telefonierender Software sicherlich schon bewusst.
Allerdings vermutet so manch einer sicherlich, dass sich dieses Spionage-Gebahren mancher Software auf kleine zwielichtige Software-Buden beschränkt, die auf das schnelle Geld aus sind. Das mag in der Mehrzahl der Fälle auch so sein, allerdings waren wir besonders überrascht, als wir in letzter Zeit von einem Prozess namens ksfetch (nobody) durch Little Snitch alamiert wurden, der ganz offenbar alle 15 Minuten eine Verbindung zu tools.google.com über den TCP Port 443 (https) herstellen will.
Besonders bemerkenswert: Egal ob ksfetch per Little Snitch erlaubt wird die Verbindung herzustellen oder nicht, die Nachfrage kommt immer wieder und liess sich nur mit einem Trick abstellen. Wie das funktioniert zeigt diese Mini-Anleitung.
Etwas googlen hat schnell gezeigt, was es mit ksfetch auf sich hat.
Der Prozess gehört offenbar zum Google Software Update, einer Library, die automatisch mit verschiedenen Google Applikationen unter Mac OSX installiert wird (u.a. Google Earth, Google Chrome, Google Gears und Goolge Picasa).
Soweit also nichts Ungewöhnliches, wenn das Google Software Update ab und an versucht mal nach Hause zu teloefonieren und nachzufragen, ob es denn vielleicht ein Update zu den installierten Google Applications gibt (ungewöhnlich nicht, aber nervig – auch das kann man dem User komfortabel in entsprechenden Einstellungen überlassen, ob er/sie einen entsprechenden Service nutzen möchte und in welchem Intervall).
Nun ist man sicherlich geneigt, das Google Software Update einfach auzustellen. In der Software (Google Earth, Google Chrome, Google Gears und Goolge Picasa) gibt es dafür leider keine Einstellungen. Also zeigt eine weitere Recherche bei Google, dass das GoogleSoftwareUpdate eine eigene Library ist, die man hier lokalisieren kann:
Library/Google/GoogleSoftwareUpdate/
Wer jetzt denkt, dass es einfach reicht das Verzeichnis zu löschen und der Spuk ist vorbei, der hat sich geschnitten… Die Google Apps haben alle einen Check eingebaut, die prüfen, ob das GoogleSoftwareUpdate Verzeichnis existiert und falls nicht dieses einfach automatisch “reparieren”…
Wem das noch nicht nah genug an der Definition von Malware liegt, der sucht mal nach einem Uninstaller oder einer Anleitung bei Google, wie sich das GoogleSoftwareUpdate entfernen lässt…
Geht nicht. Einen Uninstaller gibt es nicht. Die häufigsten Vorschläge sind, die Google Apps zu löschen und einfach auf Google Earth, Google Chrome, Google Gears und Goolge Picasa zu verzichten… Nicht gerade praktikabel…
Also bleibt nur ein Workaround, den wir auch selbst angewendet haben.
Dieser setzt die Rechte des Verzeichnisses Library/Google/GoogleSoftwareUpdate/ einfach so, dass das ksfetch nicht mehr gestartet werden kann.
Dazu einfach das Verzeichnis GoogleSoftwareUpdate im o.g. Pfad per Finder finden, dann mit der rechten Maustaste anklicken und im Kontextdialog “Informationen” anwählen.
Dann können ganz unten im aufgehende Fenster zum Verzeichnis die Benutzerrechte eingestellt werden.
Im Normalfall sind diese Rechte ausgegraut und können nicht direkt geändert werden. Ein Klick auf das Schloss in der unteren rechten Ecke des Fensters öffnet ein neues Fenster in dem man sich mit Benutzername und Passwort die Administrationsrechte holt.
Ist das Schloss einmal offen, sind die Verzeichnisrechte wie folgt einzustellen:
System: lesen & schreiben
everyone: keine Rechte
Der Ordner erhält daraufhin ein “Einbahnstrassen-Schild” in der rechten unteren Ecke und die Meldung von ksfetch in Little Snitch verschwindet, da das GoogleSoftwareUpdate nicht mehr gestartet werden kann.
Hat der Trick bei euch auch geklappt? Habt Ihr eine bessere Lösung für das Problem? Was sagt Ihr zum Thema Malware bei Google?
Ich war kurz davor, zu verzweifeln. Vielen Dank für den Tipp!
Ja, dass Google sowas macht ist ja auch wirklich nicht das was wir bisher für möglich gehalten haben
Danke für den Artikel. Hab das Problem seit 4 Tagen und es nervt mich wie Hölle. Mal sehen ob euer Workaround was bringt
Ja, google ist da schon mehr als rotzfrech, was das angeht. Auf jeden Fall ein guter Tipp. Hat mich voll genervt, dass es nicht zu verbieten ging! Danke
Funktioniert (nicht ganz). Bei mir hat das Verzeichnis auch noch die Gruppe “wheel” zugeordnet. Dieser Gruppe kann ich keine “keine Rechte” geben, sondern nur, “lesen” (hat sie bereits) oder “nur schreiben”. Da ich auch in der Gruppe “wheel” bin, kann ich das leider so nicht machen. Achtung: Wenn man die Standardgruppen eines Ordners entfernt (in dem Fall “wheel” löscht, dann kann man diese nicht ohne ziemlichen Aufwand wiederherstellen).
Mir geht es so wie “gent”. Mal sehen ob’s trotzdem funktioniert.
Was bedeutet eigentlich “wheel” als Verzeichnis?
Auf jeden Fall erst mal vielen Dank für den Workaround!
Funktioniert leider bei mir nicht!
Der Updater von Google schreibt offenbar die Zugriffsrechte des Ordners selber wieder um, so dass der Trick nur eine kurze Zeit Ruhe bringt …
Schade! Und eine absolute Frechheit von Google!!!
Ich hoffe, Google ändert das schleunigst und bringt ein Update von Chrome.
Wir haben bei einem anderen Rechner einfach auch Wheel die Rechte entzogen bzw. gelöscht. In Wheel ist nur der Admin enthalten… Und damit hat niemand mehr Zugriff; Little Snitch meldet sich nicht mehr.
ich habe das haeckchen bei ‘locked’ (geschuetzt) noch reingemacht dann ging es
Frechheit von Google. Echt voll nervig gewesen – Danke für den Umweg. Funzt!
Für alle, die die Library suchten – so wie ich – und nicht mitbekommen haben, dass die seit neuestem von Apple versteckt wurde. Terminal öffnen und:
chflags nohidden ~/Library/
eingeben.
Nein, hat nur ein paar Tage funktioniert. Jetzt kommt die Meldung immmer wieder…
Und wenn Du Dir die Dateirechte anschaust, dann steht da das Gleiche wie in der Abbildung im Artikel oder hast Du Wheel noch als Gruppe bestehen gelassen?
Eine eigene Regel in Little Snitch, die alle Verbindungen zu tools.google.com verbietet ?
Ich kann auch mit Hilfe des Terminals und der von Claudia vorgeschlagenen Eingabe von chflags nohidden ~/Library/ den Pfad und den GoogleUpdateService auf meinem Mac nicht finden.
Hat da jemand eine Idee?
Ahh, zwar nicht über Spotlight gefunden, aber jetzt war ein weiterer Google-Ordner zu sehen und den konnte ich öffnen.
Was ist denn jetzt mit wheel? die Gruppe löschen? Konnte nichts darüber finden, warum ich wheel vielleicht doch nicht löschen sollte…
Google did evil!
Vielen Dank für die Info, mich hat es auch riesig genervt.
Ich werd’s auch versuchen es so loszuwerden. Und falls nicht, allmählich bin ich schon so trotzig, dann eben ohne google.
ist übrigens auch keine so schlechte Alternative als Suchseite, falls es jemand interessiert.
Vielen DanK!
Rettung.
Grüße
Wieso steht bei mir ein zusätzliches “unknown” unter System und Everyone. Diesem “unknown” kann ich nämlich nicht die Rechte auf Zugriff entziehen, lediglich “Read” oder “Write (Dropbox)”.
wundervoll, endlich ruhe! herzlichen dank!
Kein Update mehr suchen zu lassen ist auch keine lösung!
Ich habe mich erstmal damit beholfen:
http://www.fauxzen.com/little-snitch-google-chrome-ksfetch-issues/
Damit soll das Update-such-Intervall auf eine Woche hoch gesetzt werden. Es scheint zu funktionieren und 1x die Woche kann ich mit der Meldung leben.
das habe ich gemacht und ich hatte ein paar Tage Ruhe. Jetzt ist der Spuk zurück! Obwohl ich wieder und wieder die Rechte auf keine gestellt habe, kommt die Anfrage alle 15 Minuten in doppelter Ausführung zurück. Das Einbahnstraßenschild auf dem Köfferchen ist auch weg.
Hat jemand noch einen Tipp?
Lieben Dank Birgit
wie wärs mit sperren der Website ?
1) starte das Programm Terminal
2) starte folgenden Editor:
sudo pico /etc/hosts
3) füge folgende Zeile ein:
127.0.0.1 tools.google.com
4) Beenden/Speichern mit ^X (ctlr-x)
Gruss Luda
Dank LittleSnitch 3 lassen sich jetzt nicht nur ausgehende, sondern auch eingehende Verbindungen blocken.
-> im Monitor GoogleSoftwareUpdate auswählen, Rechtsklick, Regel erstellen. Am Ende sieht das so aus:
/Users/XY/Library/Google/GoogleSoftwareUpdate/GoogleSoftwareUpdate.bundle/Contents/Resources/GoogleSoftwareUpdateAgent.app/Contents/MacOS/GoogleSoftwareUpdateAgent
Verbiete alle eingehenden Verbindungen
–
Jetzt ist Ruhe. GoogleEarth funktioniert allerdings erst wieder richtig, wenn LittleSnitch abgestellt ist.
zur Lösung von @Luda:
Wichtig beim Editieren der Host-Datei ist ein TAB-Sprung zwischen 127.0.0.1 und tools.google.com, nicht einfach nur ein Leerzeichen!
127.0.0.1 (TAB drücken) tools.google.com
danke,danke,danke,danke,danke,danke,danke,danke,danke,danke,danke !!!!!!
Ich bin so dankbar, dass es solche tollen Artikeln gibt, wie diesen. Super beschrieben – kurz, knackig und verständlich UND vor allem hilfreich!
Tausend Dank dafür!
Funktioniert bei mir nicht
Verzeichnisrechte geändert aber das Einbahnstrassenschild erscheint nicht und ksfetch belästigt mich weiterhin fleißig. Verzweiflung!!!!!!!!!
Per Konsole gehts ganz gut. Allerdings kommt trotzdem ab und an die Nachricht, dass der Updater nicht gestartet werden kann.
Hab folgendes gefunden
http://wireload.net/products/guu-google-update-uninstaller/
Obs klappt, werd ich gleich bald sehen, habs grad erst installiert
… Vorsicht – es gibt das Verzeichnis Library/Google/GoogleSoftwareUpdate/ 2x … oder besser gesagt, es gibt auch ein Verzeichnis im eigenen home (also ~Library/Google/GoogleSoftwareUpdate/).
Ändern muss man aber die Rechte im Library/Google/GoogleSoftwareUpdate/ (nicht im home) – sonst funktionierts nicht, und es kommt immer wieder (wie von gent und Dani beschrieben)
Das Workaround mit Verzeichnisrechten hilet nurt wernige Stunden!
Dann ich habe einfach mal den ganzen Ordner “GoogleSoftwareUpdate” gelöscht und seit 3 Tagen keine Problem mehr.
Also ich war auch kurz davor durchzudrehen, interessant ist aber das ich das Problem nur auf meinem 10.6.8 Mac habe alle anderen mit 10.7 haben diesen hinweis nicht.
Mal sehen wie es weitergeht.