Kwaadaardige widgets probleem binnen Tiger

Apple's Dashboard kan voor flink wat problemen voor de argeloze gebruiker zorgen, zo lezen we bij eWeek. Het is namelijk mogelijk om kwaadaardige widgets te ontwikkelen die zichzelf installeren zo gauw een bepaalde website wordt bezocht. De ontdekker van deze mogelijkheid heeft ook meteen een voorbeeld geschreven, een widget dat niets meer doet dan aftellen. Het aftellen is dan ook niet het probleem, maar andere widgets zouden de gebruiker kunnen overstelpen met porno, spam of zelfs op zoek gaan naar wachtwoorden. Het enige dat de gebruiker hieraan kan doen is achteraf, na installatie, via de Activity Monitor de widget te stoppen en verwijderen.

Mac OS X - Tiger Logo Volgens een analist van Jupiter valt het wel mee met de problemen. Apple heeft ervoor gezorgd dat niets meer dan widgets zonder uitdrukkelijke toestemming geïnstalleerd kunnen worden en hoewel de standaardinstelling is dat veilig geachte bestanden automatisch worden uitgevoerd in Safari, kan dit gemakkelijk worden uitgezet. Natuurlijk is het zo dat widgets die niet van Apple komen kwaadaardig kunnen zijn, maar gebruikers moeten zelf opletten wat ze installeren op hun Mac.

Lees meer

Reacties (50)

Plekuz 10 mei 2005 12:36

Ik snap het niet helemaal geloof ik. In de tweede zin wordt gezegd dat de widget zichzelf installeert, wat in mijn beleving betekent zonder tussenkomst van de gebruiker. Echter in de laatste zin wordt beweert dat de gebruiker moet opletten wat ie installeert. Hoe kan dat als de widget zichzelf installeert?

Kuhlie @Plekuz • 10 mei 2005 12:44

Ze kunnen zich misschien wel zelf installeren, maar *alleen* als ze geen onveilige dingen kunnen doen. Zodra ze dingen kunnen als shellcommando's uitvoeren, internet benaderen, etcetera, vraagt Dashboard aan de gebruiker of ze dit (en dan ook precies dat, dus bijv. ook 'alleen dingen op het internet') willen toestaan.

cc bcc 10 mei 2005 11:05

Ja ik heb die optie van "veilige" bestanden openen na downloaden al lang geleden uitgezet. Ik bepaal zelf wel wat veilig is.
Lekker stom dit van Apple, hier hadden ze zelf ook wel op kunnen komen denk ik.

Iemand op Ars Technica heeft een aantal Widgets gemaakt (als proof of concept) die dezelfde naam dragen als de standaard widgets van Apple, met wat spaties aan het begin van de naam zodat ze als eerste worden weergegeven. Het is niet te zien dat deze "evil" zijn, zelfde naam en icoon. Alleen wanneer je ze in je Dashboard venster sleept merk je het. Nou is het proof of concept, dus weinig aan de hand, maar de maker van deze widgets zei dat hij in staat is om er destructievere dingen mee te doen.

edit:

Het is misschien lastig (voor Apple) om gebruiksvriendelijkheid tegen veiligheid af te wegen, maar zo'n probleem is het niet om zelf ff iets te dubbelklikken na het downloaden ipv dit automatisch te laten gebeuren.
En dan blijven dit soort exploits nog steeds gevaarlijk, want mensen klikken op alles wat los en vast zit..

CyBeR 10 mei 2005 10:22

Overigens is het zo dat je bij widgets die speciale dingen doen (bijvoorbeeld commando's uitvoeren, etc.) de eerste keer gevraagd wordt of je wel zeker weet dat je die widget wilt activeren.

CyBeR @Verwijderd • 10 mei 2005 14:51

Dat zou je mischien zeggen, maar bij widgets die niets speciaals doen (dus bijvoorbeeld een post-it note ofzo) krijg je dat niet. Dus valt 't op als je het opeens een keer wel krijgt en lees je het.

johnneman 10 mei 2005 10:13

maar gebruikers moeten zelf opletten wat ze installeren op hun Mac.

En toch vind ik dat standaard gebruikers hiervoor behoed moeten blijven. Er kwam natuurlijk niet voor niets een Service pack 2 uit voor Windows XP. Tuurlijk zal er een systeem zijn die alleen 'veilige widgets' toe laat, maar zo beveiligd is dat dan allemaal blijkbaar niet

@ Abom: en toch zijn er ook prutsers die hun rijbewijs hebben

Abom @johnneman • 10 mei 2005 10:54

Gebruikers die niet opletten wat ze aan het doen zijn met hun PC/Mac, moeten het gewoon bij pen en papier houden.

Je gaat toch ook niet de snelweg op met je auto, zonder je rijbewijs.

arbraxas @Abom • 10 mei 2005 23:36

Oh nee?
Moet je de krant s beter lezen hoeveel er van de weg geplukt worden die dronken, zonder papieren, zonder rijbewijs en zonder verzekering van de weg geplukt worden.
Ieder normaal denkend,sociaal denkend mens niet nee, helaas denkt niet iedereen er zo over.
De bug is er, dus hij zal geexploiteerd worden zo simpel is t, want niet iedereen is een goedheiligman.

Abom @arbraxas • 11 mei 2005 20:18

Ik zou het ook best vinden wanneer mensen strafbaar zouden zijn, wanneer ze een PC zouden gebruiken zonder voldoende kennis ervan.

Martijntj 10 mei 2005 10:14

Was het vooral disabelen van die functie niet beter geweest; gezien het feit dat de meeste Mac-gebruikers de MAC niet voor professionele doeleinden gebruiken?

Veiliger, minder geavanceerd en tóch duidelijk..

Verwijderd @Martijntj • 10 mei 2005 10:56

Ik denk juist dat dit omgekeerd ligt, de meeste Mac gebruikers zijn Grafici, die weten doorgaans nauwelijks iets van beveiliging.
Dit hele probleem is een groot doemscenario voor drukkerijen (waarvan ze voorheen meestal gevrijwaard waren) die op deze manier hele bergen data zouden kunnen verliezen of over het internet geslingerd kunnen zien.

Reinier Jonker @Verwijderd • 10 mei 2005 22:27

Volgens statistieken van Apple is minder dan 1% van de Mac-gebruikers graficus. Dat 'de meeste Mac-gebruikers' grafici zouden zijn, is onzin.

Het is daarentegen inderdaad wel zo dat veel grafici met de Mac werken.

Verwijderd 10 mei 2005 10:13

ik ben al een tijdje een gelukkige mac os x gebruiker, maar volgens mij gaat apple nu net als microsoft de kant op van commerciele snufjes en nutteloze tooltjes. helaas levert dit nu weer een veiligheidsprobleem op.

als apple hier niet snel op reageert, (en toekomstige security blunders met widgets uitblijven) kunnen de widgets wel eens de 'activex' van apple worden... een zwakke achilleshiel...

MacWolf @Verwijderd • 10 mei 2005 14:01

Reken er maar op dat Apple bij de eerstvolgende update het Dashboard veiliger maakt. Theoretisch kunnen widgets heel krachtig zijn, je zou een widget kunnen maken dat een complex bash script uitvoert en je Home directory wist.

Apple heeft met Tiger al wat aanpassingen gemaakt die het systeem veiliger moeten maken. Als je nu software (zoals bijv. een widget) download, krijg je een melding dat het programma een virus zou kunnen bevatten en de vraag of je de software wilt installeren. Hoewel dit minder elegant is als bij de vorige versie van Safari, is het wel veiliger.

Afgezien van de widgets is het systeem sowieso veiliger dan Windows, je moet immers voor bijna iedere applicatie die je installeert het wachtwoord hebben van de Administrator account (en deze account is op iedere Mac OS X installatie aanwezig en standaard voorzien van wachtwoord, wat niet bij iedere Windows installatie het geval is). Widgets zijn natuurlijk een beetje een lastig punt, want dit zijn geen traditionele programma's, het zijn in feite web pagina's.

Verwijderd @Verwijderd • 10 mei 2005 10:26

Ik ben het helemaal met je eens.
Ik draai nog geen Tiger, dus ik kan niet het niet even testen.
Maar dit klinkt als wel een hele grove fout!

Liever een veilig systeem zonder widget flauwekul!
Gelukkig hebben we dan nog het voordeel dat OS X niet een geliefd doel is van kwaadwillende mensen.

trogdor @Verwijderd • 10 mei 2005 11:43

Zeg me als ik het mis heb (ik ben geen apple gebruiker) maar is het niet eenvoudig een kwestie van niet Safari gebruiken? Maar bijvoorbeeld Firefox?

marcieking

@trogdor • 10 mei 2005 18:12

Ook ik ben (nog) geen (gelukkige) Mac gebruiker, maar ik heb gelezen dat de FF versie voor de Mac niet altijd even goed is als voor Windows/linux.

Freek 10 mei 2005 10:13

Begint een beetje op het hinderlijke spyware probleem van windows te lijken, allerlei zoekbalken in IE bv. Nadeel is alleen dat je er hier dus rechtstreeks in je OS last van hebt. Maargoed zoals er al staat, de argeloze gebruiker. Als Apple hier echt een probleem inziet zullen ze het vast wel zo patchen dat er vervolgens toestemming gegeven moet worden voor de installatie van een widget.

Verwijderd @Freek • 10 mei 2005 15:33

Het begint helemaal nergens op te lijken

Wat dit artikel suggereert is dat er 'eventueel een kleine mogelijkheid bestaat' dat men gebruik gaat maken van kwaadaardige widgets. Konfabulator is volgens dezelfde opzet gemaakt en draait al jaren probleemloos zonder vorm van spyware of virussen. En er zijn toch al heel wat gebruikers die hier op de Mac (en sinds kort ook voor Windows) gebruik van maken.

Om te beginnen moet je dus als gebruiker naar een dubieuze site om zo'n widget op te halen (Als deze al gemaakt gaan worden, Apple's zijn niet bepaald een hoofd-doel met het kleine aantal gebruikers wat ze hebben) en ten 2e moet je deze al handmatig installeren en daarbij ook nog eens je wachtwoord invullen. Nou, als je met die stappen al niet meer bewust iets installeert dan weet ik het ook niet meer. Met het inkloppen van je username en wachtwoord geef je namelijk aan dat je het 'per-se' wilt gebruiken.

Bedenk ook dat de dashboard widgets er nog maar net zijn en Apple ook alle ontwikkelingen volgt op het gebied van spyware. Ze zullen hier nog wel een extra beveiliging gaan inbouwen zodat het bovenstaande verhaal bij voorbaat al beveiligd is ipv achteraf.

KeeZ @Freek • 10 mei 2005 10:40

maar ik krijg ook mijn popups random in windows, op mijn mac moet ik dashboard ook starten voordat het begint te werken (sneltoets) dus het is niet 'in het OS' zelf zoals je beschreef...

Daarnaast vind ik random p0rn niet erg ofzo

cc bcc @KeeZ • 10 mei 2005 11:07

Dashboard widgets kunnen ook draaien als Dashboard zelf niet actief is, is aan de programmeur om te bepalen. Dus er kan op de achtergrond van alles gebeuren.

boner 10 mei 2005 10:13

waarom is de toon opeens een stuk milder dan wanneer dit soort problemen bij MS worden gevonden?

Cyphax Moderator NOS @boner • 10 mei 2005 10:26

Omdat dat appels met peren vergelijken is.

Bij Apple klinkt het meer van "er zijn veel problemen met hun nieuwe OS (iets nieuws bij Apple), da's niet slim van ze" en bij Microsoft is het "Microsoft's nieuwe OS stikt WEER van de beveiligingsfouten, leren ze het dan nooit?".
Niet helemaal eerlijk voor MS, Apple verdient dezelfde kritieken natuurlijk. Echter, Apple heeft gewoon dezelfde naam niet als Microsoft, zeker op dit gebied.
Het is even wachten op opmerkingen als "Zie je wel dat Longhorn straks in ALLES op Tiger lijkt!" ofzo

edwingr @boner • 10 mei 2005 10:27

En waarom lees ik dit soort opmerkingen in bijna elk onderwerp over Apple ?

Microsoft heeft de afgelopen jaren al haar krediet in dit soort kwesties verspeeld.

Veel gebruikers zijn het beu om allerlei tijdrovende tools te moeten installeren om hun windows een beetje schoon te houden. En zelfs mét die tools moet je voorzichtig zijn met wat je uitspookt op je PC.

Apple heeft in dit opzicht (nog?) geen slechte reputatie en gebruikers hebben er dus voorlopig alle vertrouwen in dat het wel los zal lopen of dat apple tijdig met oplossingen komt.

Abom @edwingr • 10 mei 2005 10:56

lol! je hebt helemaal geen tools nodig om je PC schoon te houden. Je moet gewoon niet van die vage sites bezoek of die bagger downloaden met je p2p tools.

Dat het niet loont om spyware, virussen of adware te ontwikkelen voor het Mac platform zegt niets over de kwaliteit van Apple.

edwingr @Abom • 10 mei 2005 14:55

Ik heb persoonlijk ook geen problemen met mijn XP installatie. Het is ook helemaal niet zo'n enorm beroerd OS, maar qua degelijkheid toch wel van een andere categorie dan OS X.

Met een XP machine durf ik mijn buurvrouw niet een maandje los te laten op het net. Zelfs mét virus- en spywarescanners weet je dat je vroeg of laat op kunt draven om problemen op te lossen. Op mijn iBook met OS X durf ik haar gerust een maandje te laten internetten. En die is dus niet voorzien van anti virus of spywaretools.

En het verhaal "Mac's zijn niet interessant voor virusschrijvers" is onzin. OS X is inmiddels een aardig populair OS geworden en er is tot op heden, voor zo ver ik weet, geen enkel virus voor in omloop. Het lijkt mij dat je als virusmaker meteen beroemd wordt op t moment dat je het eerste (grootschalige) OS X virus in omloop brengt. Blijkbaar is het toch niet zo éénvoudig.

En het lijkt mij dat wanneer je de OS ontwikkelingen een klein beetje volgt je ook wel moet weten dat het wat lastiger is om voor een unix een 'succesvol' virus te maken.

curry684 @edwingr • 10 mei 2005 15:16

Veel gebruikers zijn het beu om allerlei tijdrovende tools te moeten installeren om hun windows een beetje schoon te houden. En zelfs mét die tools moet je voorzichtig zijn met wat je uitspookt op je PC.

Ik installeer al die tools dan ook niet. Al 10 jaar niet. Al 10 jaar als administrator ingelogd, 8~16 uur per dag, pas over op FF sinds ik veel aan webdevven doe. Al 10 jaar geen virus, geen spyware, geen enge zoekbalken in IE of wat dan ook.

Virussen op Windows is net zo hard enkel het probleem dat de gebruiker te stom is als op Mac, Linux, BeOS of C-64. Grootste probleem is dan ook niet de kwaliteit van het OS maar de kwaliteit van de gemiddelde gebruiker helaas

BertS @edwingr • 10 mei 2005 11:21

En waarom lees ik dit soort opmerkingen in bijna elk onderwerp over Apple ?

Waarschijnlijk om dezelfde reden als de posts over 'het perfecte Apple' die in dit soort berichten over MS worden gepost

Verwijderd @boner • 10 mei 2005 14:00

waarom is de toon opeens een stuk milder dan wanneer dit soort problemen bij MS worden gevonden?

Als Apple dit soort problemen na het bekend worden nog een half jaar of meer laat liggen, zonder er iets aan te doen (a la MS), dan zouden Mac-gebruikers ook over de rooie gaan.

Maar de geschiedenis leert dat Apple op dit soort zaken wat alerter (=understatement) reageert. (Al lijkt het er gelukkig op dat MS de laatste paar maanden ook -eindelijk- wakker aan 't worden is).

SvMp @boner • 10 mei 2005 10:21

Omdat de inpact kleiner is. Niet zozeer om het veel kleinere aantal Apple gebruikers, maar om wat in het nieuwsbericht is te lezen, zie laatste alinea van nieuwspost.

Er is nogal een groot verschil tussen een virus wat zo je computer kan binnenkomen en heel irritant kan zijn (bijv. het Blaster virus) en een widget dat eerst toestemming vraagt om geïnstalleerd te worden.

n4m3l355 @SvMp • 10 mei 2005 10:43

imo is het ook 'eerst toestemming vragen van' meer iets in de zin van dat dit dezelfde mensen zou treffen als xp gebruikers die bomvol met spyware zitten. ondanks dat ik heel wat mensen heb uitgekafferd voor het zelf installeren van spyware is dat nog steeds geen rede voor ze om alsnog spyware te installeren. dit zou dus net zo goed Niet moeten kunnen.
maar aan de andere kant.. er is een sterke nieuwe release gekomen met heel veel lof en aan die lof kleeft ook een donkere zijde dat er helaas nog wat fouten in zitten die blijkbaar in het lab niet voorgekomen zijn of niet aan gedacht is. maar imo valt het aantal fouten dat in MacOS zit tov Ms's OS zit toch wel een verschil en ook hoe ermee om gegaan wordt. het is en blijft jammer dat mac ietwat exclusief is en zeker betreffende de software anders zou ik maar wat graag overstappen

Verwijderd @NoepZor • 10 mei 2005 15:52

Wat de argeloze mac gebruiker vooral tegenkomt zijn dezelfde meldingen (hier moet je wel even de pop-up blocker van safari voor uitzetten) waarbij men gerust op ja kan klikken en er een exe file op het bureaublad verschijnt waar OS X net zoveel mee kan als Windows met een .dmg of .app bestand.

Over de beveiliging is al het nodige gezegd, zal wel even een screenshot geven.. anders val ik in herhaling

http://ed.stanford.edu/IT/images/pay-printing/mac-install-33.gif

Geronimous

@boner • 10 mei 2005 13:35

Omdat je dit moet vergelijken met Bonzi Buddy... dat installeer je ook zelf

GiLuX 10 mei 2005 10:21

...maar andere widgets zouden de gebruiker kunnen overstelpen met porno...

mischien toch maar eens op apple overstappen

Zanthr @GiLuX • 10 mei 2005 10:29

Het gaat hier toch ook over de Apple?
Óf ik lees het nu verkeerd, óf jij snapt echt totaal de nieuwswaarde van dit bericht niet.

-in geval van sarcasme is mijn bericht milder bedoeld dan het lijkt-

CynicRelief @Zanthr • 10 mei 2005 10:40

Denk dat parent dit als sarcast zei, idd een slecht begrepen en zelden opgepikt concept hier ...

Verwijderd @Zanthr • 10 mei 2005 10:48

GiLuX bedoeld dat hij op deze manier gratis porno krijgt zonder er wat voor hoeven te doen.

Sommige twekaers weten blijkbaa rniet wat humor/humoristisch is.

Zanthr @Verwijderd • 10 mei 2005 10:54

Wat is dan het verschil met een PC+Windows? Porno krijg je wel, ook hier.
Uiteindelijk gaat het toch om het betalen ervoor, dus als jij en ik nu niet enorm op de letterlijke betekenis en uitleg gaan letten komt het goed.

SeenD @GiLuX • 10 mei 2005 14:41

..maar andere widgets zouden de gebruiker kunnen overstelpen met porno...

mischien toch maar eens op apple overstappen

Hahahaha goed id

topcad 10 mei 2005 10:18

Dit lijkt eigenlijk een beetje op de problemen die MSN 7 Beta had die uitgelekt was met zijn winks. Je kan de widgets gewoon zo aanpassen dat je er kwaadaardige dingen mee kan. Dit was hetzelfde met MSN Beta 7 en de winks. Gewoon uitschakelen is het veiligst moet het alleen wel kunnen.

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (50)

Sorteer op:

Weergave: