Tak trochu nebezpečný Dashboard

9. 05. 2005, 20:41 · Nakousnutá jabka

ikonkaMac OS X 10.4 obsahuje potenciálně nebezpečnou skulinku, kombinující standardní nastavení Safari a Dashboard, kterou by bylo možné zneužít pro nějaké ošklivé aktivity – nelze ji tedy využít pro útok zcela bez vědomí uživatele, ale lze tuto vlastnost využít k navození situace, která uživatele zmate, resp. ho uvede v omyl a poté sám uživatel omylem aktivuje škodlivý widget.

O co v praxi jde? O již známou oblíbenou funkci, kdy Safari automaticky otevírá bezpečné soubory z webu – konkrétně rozbalí zip, ve kterém je widget, zjistí, že se jedná o widget a pokud ten neobsahuje zkompilovaný spustitelný kód (ObjC, C++) a směle ho nainstaluje. Widget nyní čeká na své první spuštění, které MUSĂŤ provést uživatel osobně ručně.

Co z toho vyplývá: nejedná se o chybu, která by umožňovala bez jakékoliv interakce uživatele například smazat disk, ALE v případě, že je nainstalovaný nepřátelský widget, který se bude tvářit přátelsky, zvědavý uživatel klepne a neštěstí je hotovo. Widget totiž může spouštět bez problémů shelové příkazy, takže vše, co může uživatel, pod kterým běží, může i widget.

Nepříjemné je, že pro běžného uživatele je nejsnazší způsob, jak se takové věci zbavit, smazat widget a restartovat počítač, protože uživatel asi nebude vědět, jak killnout Dock (resp. podle zzena stačí jen dát dopředu/dozadu pokud se zobrazí šipečky pro posun na jiné stránky seznamu). Podrobnosti najdete na této stránce, zzena jsem svými dotazy kolem zneužitelnosti vyprovokoval k vytvoření malého widgetu, který v praxi ukáže, jak lze snadno nainstalovat widget bez vědomí uživatele (pokud používáte Safari a nemáte vypnutou volbu “Open safe files after downloading”) a poté již s jeho účastí (ale opět bez jeho vědomí) například vytvořit a smazat složku.

Zajímavou funkcí je, že widget může běžet i na pozadí a fungovat například jako keylogger a tedy zaznamenávat vše co píšete, včetně hesel a podobně.

Nejsnazší ochrana: vypnětě si volbu “Open safe files after downloading” v Safari. Pak by vás nemělo nic překvapit.

Za pomoc děkuji zzenovi, a.k.a. Jakubovi Nešetřilovi.

Trvalý odkaz na tento příspěvěk

  1. Som si vedomy toho, ze sa to da velmi jednoducho zneuzit, ale myslim ze prvotny zamer bol naplno zjednodusit instalaciu widgetov (samozrejme bezpecnych) aj pre uzivatelov,ktory nemusia tusit, kde sa zlozka s nimi nachadza.
    Soudruzi v Apple to len celkom nedomysleli a asi sa teraz budu za hlavy chytat, ze si to neuvedomili :D

    AD: to “vypnutie” widgetu

    naozaj ho staci odstranit zo zlozky widgets a prebehnut dopredu/dozadu v liste dashboardu

    kari    9.5.2005 22:38    #

  2. Jedno z reseni je zpustit tento prikaz v Terminalu:

    sudo chmod a-x ”/System/Library/CoreServices/Dock.app/Contents/Res ources/DashboardClient.app/Contents/MacOS/Dashboar dClient”

    Tim zajistite ze uz se zadne dalsi widgety nespusti. Problem je, ze kdyz se odhlasite a znovu prihlasite tak se uz nespusti ani ty co pouzivate. Samozrejme jde pustit chmod a+x (na stejny soubor), potom pridat widgety co pouzivate a pak zase spustit a-x (opet na ten samy soubor).

    David    10.5.2005 14:25    #

  3. co takto len toto:

    chmod a-w ~/Library/Widgets

    ked uz tak…

    — Jozo Remen    10.5.2005 14:51    #

  4. Re: Jozo. Jo zakazat zapis do ~/Library/Widgets je asi lepsi reseni (pokud to Safari nespusti odjinud, to jsem nezkousel). Nicmene by to vyresilo problem s nalogovanim se.

    David    10.5.2005 15:23    #

  5. Firma MS tohle řeší od uvedení technologie ActiveX na trh. Bez výsledku, resp. jediné řešení je zatím zákaz instalace ActiveX z webu. Odsouhlasení instalace uživatelem je totálně neefektivní.

    — Pepa    11.5.2005 08:50    #

  6. tak se nám to tady nějak zaseklo, žádné nové příspěvky… :(

    — adam    12.5.2005 14:23    #

  7. Wired: Dashboard Leaves Macs Vulnerable

    Jan Brašna    12.5.2005 15:54    #

  8. .....například omylem či ze zvědavosti.
    Když se někomu něco stáhne u windows a neví co to je a otevře to tak je tu nazván přinejlepším nezodpovědným uživatelem, pak hůře : to může udělat idiot atd. Ale uživatel applu nee :) to je jen ze zvědavosti nebo nedejbože omylem !! :)

    — Pavel    15.5.2005 15:32    #

Související články


Zákazníci O2 s Apple iPhone budou moct využívat tethering [U]
Listopad: měsíc Apple obchodů
Odkazy k prezentaci na Apple Forum
Jsou Things to pravé ořechové?
Apple má konečně oficiální český web
O arogantní a neakceptovatelné petici
CDS se přebarvuje na Apcom
Gigabitová síťovka pro Power Mac G4/G5/Xserve
Pokusy s Twitterem
MacHeist potřetí - a nakonec jim to zase zaplatím