Het lijkt voorlopig redelijk ongevaarlijk, maar als iemand je via iChat een bestand met de naam ‘latestpics.tgz’ aanbiedt kun je dat beter afslaan. Hier meer over de eerste vermeende OS X Trojan. Een trojan is géén virus, maar kan wel heel vervelend zijn.

Voor gebruikers is het ‘veiligheidslek’ te ontdekken als de computer bij het openen van een JPG of ander gangbaar bestand om je wachtwoord vraagt.

Voor nerds:
Het kan haast geen toeval zijn dat op Daring Fireball enkele dagen geleden een stuk getiteld “Regarding the Permissions of the InputManagers Folder” verscheen waarin John Gruber uitlegt dat er een mogelijk veiligheidsgevaar schuilt. Dat gevaar wordt ge-exploiteerd in de trojan. Ik suggereer niet dat John Gruber de maker er van zou zijn, maar het kan een inspiratie geweest zijn. De exploit bestaat en kan een realistisch gevaar opleveren. Als er paniek ontstaat rondom deze exploit is de kans groot dat er een oplossing van Apple’s kant komt. De maker kan dat als doel hebben gehad.

Verschillende programmeurs die de trojan ontleedt hebben geven inmiddels aan dat de file een vrij zichtbare bug bevat die voorkomt dat de trojan zichzelf verspreidt, maar nog wel je geïnstalleerde programma’s kan neutraliseren.

Overigens ben ik het niet eens met mensen die in verschillende forums de effectiviteit van deze trojan kleineren. Er zijn een aantal kenmerken die het programma met zich meedraagt als het gedownload en uitgevoerd wordt:

1. Safari kan een melding geven dat het gedownloade bestand een applicatie kan bevatten.

Het gedownloade bestand doet zich voor als een .tgz bestand, niet als .jpg, het is voor onervaren gebruikers geen grote stap om deze melding te negeren. Andere browsers geven deze melding overigens niet.

2. Gebruikers moeten de trojan dubbelklikken om ‘m te activeren.

Lijkt me een vrij gebruikelijke handeling, vooral als je verwacht dat er plaatjes in staan die je graag wilt zien…

3. De trojan vraagt in sommige gevallen om een wachtwoord als de gebruiker niet ingelogd is als Admin.

Waarom het in sommige gevallen is, is me nog niet helemaal duidelijk, maar geloof me dat er mensen zijn die achteloos hun wachtwoord invullen. Alleen als je niet als gebruiker met Admin privileges bent ingelogd wordt er om een wachtwoord gevraagd. In de meeste gevallen heeft de actieve gebruiker Admin privileges, er wordt dan niet om een wachtwoord gevraagd.

Het lijkt me dus belangrijk dat er snel een oplossing voor deze exploit wordt gerealiseerd.

Wat me trouwens opvalt is dat Mac OS X soms een veiligheidsmelding geeft als een programma voor het eerst gestart wordt, maar niet altijd. In dit geval blijkbaar niet, hoe kan dat?

update: Symantec heeft een duidelijkere omschrijving van de trojan.