Até agora não era necessário estar muito preocupado com a existência de vírus para o Mac OS X. Contudo, com o aumento da quota de mercado é natural que a plataforma comece a ser mais apetecível e seja alvo de mais ataques. Isto vai obrigar naturalmente a Apple a responder mais depressa, corrigindo as vulnerabilidades encontradas, mas até lá pode acontecer que os utilizadores Mac fiquem um pouco “indefesos”.
A recente descoberta de uma vulnerabilidade no Apple Remote Desktop agent permite que se possam correr apple scripts a partir da shell como root. Se não acredita abra um terminal e excreva:
osascript -e 'tell app "ARDAgent" to do shell script "whoami"'
Como resultado deve ter “root”, o que mostra que o ARDAgent correu com todas as permissões possíveis.
Isto está a ser já aproveitado por um malware chamado “PokerStealer” que fazendo-se passar por um jogo de Poker utiliza esta vulnerabilidade para aumentar os seus privilégios e dessa forma tomar conta do seu computador. Este vírus activa o ssh, e envia o username, a hash da password e endereço de IP do seu Mac para um servidor na internet.
O risco de ser infectado é reduzido, uma vez que este vírus necessita de uma acção efectiva por parte do utilizador. Por isso o utilizador deve ter cuidado com os programas que utiliza e não deve fazer download de software de sites que não tenham boa reputação. No entanto se for paranóico e quiser mesmo evitar este problema, e não utilizar o Apple Remote Desktop, pode fazer uma das duas opções seguintes:
- mudar as permissões do ARDAgent.app. Para isso vá ao terminal e faça:
sudo chmod -R u-s /System/Library/CoreServices/RemoteManagement/ARDAgent.app * este código é apenas uma linha, aqui mudou de linha por causa da largura da coluna de texto.
desta forma está a desligar a possibilidade da aplicação correr como Root uma vez que está a impedir SUIDs…
- A segunda opção é apagar o ARDAgent.app da pasta. O melhor é mesmo zippar a pasta e guarda-lo algures para quando quiser voltar a utiliza-lo.
Agora a questão final. Vale a pena fazer isto? Para já o risco de ser infectado é mínimo, e se for cuidadoso nem precisaria ler este artigo, mas com o crescimento da plataforma Mac, e com a atenção dos malfeitores a virar-se para esta plataforma, todo o cuidado é pouco.
Aliás, nesta altura a própria Apple prepara um sistema operativo novo, o Snow Leopard, onde se está a concentrar fundamentalmente na fiabilidade, rapidez e segurança do sistema OS X, num reconhecimento claro que toda a atenção que o OS X está a ter agora pode vir no futuro a revelar ainda mais esqueletos nos armários do OS X. Para além disso os malfeitores certamente tentarão explorar este tipo de vulnerabilidades noutros tipos de software que não apenas o joguinho de Poker, por isso a desactivação do serviço garante que pelo menos esta vulnerabilidade não voltará a ser utilizada. E esperemos que a Apple a corrija rapidamente.
Ver também: WWDC: Nada de Novo