Apple's Dashboard-patch biedt onvoldoende bescherming
Kritiek op halfbakken dialoogvenster
24 mei 2005 | Lars Pasveer
Widgets, één van de jongste toevoegingen in Apple's Mac OS X-besturingssysteem, houden nog altijd een risico in, ondanks een recente update. Veiligheidsexperts waarschuwen voor de misleidende bewoordingen in de systeemdialogen.
De widgets (in Tiger 'Dashboard' genaamd) zijn fraai vormgegeven, in essentie kleine scripts die bepaalde taken kunnen uitvoeren. Daarbij denken we aan automatische vertaling van woorden, het weergeven van de weersverwachting of het opzoeken van telefoonnummers.
Daar is weinig op tegen, maar de scripts kunnen door hackers ook makkelijk voor minder goedaardige doeleinden gebruikt worden. De manier waarop Apple in Tiger widgets implementeerde, kwam het bedrijf op kritiek te staan: wie een link aanklikte met daarin widget-code, voegde het script zonder enige verdere controle toe aan het besturingssysteem.
Apple reageerde snel met een update, die het Tiger-besturingssysteem bijwerkte met een extra tussenstap in de vorm van een dialoogvenster. Experts zijn nog altijd niet tevreden, omdat het venster spreekt over 'downloaden', terwijl het script niet alleen wordt opgehaald, maar nog altijd zonder controle aan de widget-bibliotheek wordt toegevoegd.
Programmeur Jonathan Zdziarski vindt het probleem ernstig genoeg om er een algemene waarschuwing over uit te geven op de zogenoemde Full Disclosure-lijst, een discussieplatform voor beveiligingsrisico's. Zdziarski: "Apple heeft de downloadknop vreselijk verkeerd benoemd. Als ik iets download, verwacht ik alleen een download, terwijl de widget in feite wordt geïnstalleerd."
Zdziarski ziet als grootste gevaar een widget die in de achtergrond bijhoudt wanneer een gebruiker inlogt met beheerrechten. Onder OS X werkt een gebruiker uit veiligheidsoverwegingen standaard in een omgeving met minder rechten. Een kwaadaardige widget kan het paswoord afvangen en doorspelen aan derden.
Apple stimuleert de ontwikkeling van Dashboard-widgets, maar onthoudt zich van commentaar op kritiek over de laatste Dashboard-patch. Tiger-gebruikers kunnen risico's vermijden door alleen widgets te installeren vanaf betrouwbare locaties (zoals de Apple-website) of zich voorlopig tevreden stellen met het handjevol meegeleverde scripts.
Met een bijdrage van Joris Evers, CNet.
Lees meer artikels over :
apple, widget, dashboard, tiger, script
bron: ZDNet
15/04/2009 02:26:57
Origineel bericht van Auric Belgie 25/05/2005
Het gaat hier nog steeds om dingen die je zelf download. Wanneer je met Internet Explorer over
het Internet surft, dan zit je computer binnen de korste keren boordevol spyware - en zeg niet
dat het niet waar is, ik krijg genoeg computers binnen die op deze manier vervuild geraken. Dit
is trouwens geen lek, want er gebeurt niets zonder dat de gebruiker het zelf wil. Automatische
installatie, ok, maar je moet het nog steeds zelf activeren anders doet die widget helemaal niets,
behalve zitten zitten. Vergelijk met dat leuke gratis tooltje dat je download en plots een virus
blijkt te zijn. Dat komt op elk OS voor.
Let op het verschil: verwijder de kwaadaardige widget en reboot. En er is niets meer aan de
hand, dit kan niet gezegd worden bij andere welbekende besturingssystemen. Want wanneer je
dat programma tijdens het opstarten opnieuw wil laten uitvoeren op Mac OS X, dan heb je nog
steeds een paswoord nodig, terwijl op andere welbekende OSen elk programma ervoor kan
zorgen dat het mee opstart. En als je een vertaalwidget opent dat plots om een paswoord vraagt,
dan moet je echt achterlijk zijn om daar geen gevaar in te zien.
Je hebt wel gelijk over de marktpenetratie, maar ongelijk wanneer je wil beweren dat de
gebruiker altijd al die spyware installeert. Wel wanneer ze kazaa en andere rommel installeren,
maar ook gewoon surfen kan voor last zorgen.
15/04/2009 02:26:57
Origineel bericht van Kristof 25/05/2005
Als ik het goed begrijp is dit ongeveer hetzelfde als er kan gebeuren met Activex-controls in Internet Explorer. Toch wel bijzonder hardleers van Apple dat ze een technologie introduceren waarvan geweten is dat ze problematisch is. Bij MS is men al lang bezig om de Activex-technologie te vervangen door veiliger technieken!
15/04/2009 02:26:56
Origineel bericht van Olaf 25/05/2005
Ja het is iets gelijkaardigs.
De theorie van AxtiveX was dat je er een digitale handtekening in zetten waarvan de sleutel enkel door een erkend firma werd gegeven na checks of je wel degelijk bent wie je beweert te zijn. Op die manier zou een ActiveX met een bepaalde sleutel als betrouwbaar kunnen bestempeld worden. En als de dader toch een spyware maakt, dan weet men wie het gedaan heeft en kan men hem vervolgen. Echter men is vergeten dat gebruikers via "social engineering" ook overtuigd kunnen worden om toch die ActiveX te installeren ook al zegt dat IE dat het niet goedgekeurd is.
Ondertussen is Microsoft van ActiveX aan het afstappen en pushen ze .NET programma's die een stuk beter te beveiligen zijn dan gewone conventionele programma's. .NET programma's heeft security standaard in de programeertaal geintegreerd. De verantwoordelijkheid van de code veiligheid is nu voor de OS, terwijl de verantwoordelijkheid van ActiveX code nog bij de programmeur mag. In mijn ogen een hele goede stap, en Lunix gaat met Mono, ook de richting uit van die .NET technologie, het noemt gewoon anders.
Nu of je het wil of niet, zelfs met de .NET zal plug-ins die code kunnen uitvoeren altijd een zwak punt zijn. Gelijk welk OS, gelijk welk browser.
15/04/2009 02:26:56
Origineel bericht van Olaf 25/05/2005
Helaas heeft Appel de neiging van doofpotoperaties.
Veel updates bevatten bugfixes maar zijn niet gedocumenteerd als bug fixes, meer als iets minder ergs.
Maar ik vind het wel goed dat ze het snel gefixed hebben.
15/04/2009 02:26:56
Origineel bericht van adware 25/05/2005
De patch lijkt me alvast een goede oplossing. Dit "lek" is nu een mooi voorbeeld wat zich ook vaak onder Windows afspeelt. En naar mijn bescheiden mening vaak onterecht bekritiseerd wordt. Ik hoop dat Apple "fans" ook eens hun ogen openen en beseffen dat dit soort fouten bij elk OS voorvallen. Dat vooral de marktpenetratie van een OS het gevaar op zo'n uitbuitingen verhoogt. Het is de gebruiker die naar mijn gevoel door onwetendheid onveilige widgets gaat installeren. Niet echt problematisch, net zoals WIN gebruikers malafide programma's (adware, backdoors, spyware, ...) kunnen installeren.
Waar ligt de grens van tussen vrijheid, gebruiksgemak en beveiliging?
Blog : Zakelijke IT
Met de recente lancering van hun eerste update (in Windows termen het equivalent van een Service Pack) voor de vSphere 5 suite staat voor veel bedrijven het licht op groen om hun huidige vSphere 4 omgeving up te graden. Maar hoe eenvoudig is die taak?
lees meer »
in de kijker »
news
De opstarttijd van Windows 8 is zo kort dat er nauwelijks tijd is om in de Veilige Modus te geraken. Microsoft sleutelde daarom flink aan de bootcyclus.
lees meer »
news
In Antwerpen opent vandaag Gamebox, een project waar jongeren onder begeleiding van specialisten kunnen gaan gamen.
lees meer »
help
De webapplicatie Readlists maakt gratis e-books van door jou geselecteerde nieuwsartikelen en verstuurt ze naar je smartphone, tablet of e-reader.
lees meer »
Game
Twintig jaar geleden redde een groepje naamloze helden de wereld. Nu is het aan een nieuwe generatie om de demonen terug richting de hel te sturen.
lees meer »
wedstrijden »
Win 6x Mission: Impossible - Ghost Protocol!
Doe mee »
