William Lima, colaborador deste blog, nos esclarece alguns pontos a respeito do “primeiro cavalo-de-tróia” para o “Apple OS X”, que está gerando todo esse rebuliço na comunidade mac.
—
Esse alarde começou com um report da Intego (http://www.intego.com/news/pr40.html); ao ler o report constatei que 99{2924376de9395e8cfc15acd815d9baaef6b6fe70f0a6744e7eb0f6aa07a10724} das afirmações da empresa são falsas.
Primeiro:
The Trojan horse’s code is encapsulated in the ID3 tag of an MP3 (digital music) file. This code is in reality a hidden application that can run on any Macintosh computer running Mac OS X.
Totalmente errado, o código da aplicação não fica na ID3 tag, se trata de um aplicativo Carbon CFM com uma mp3 como bundle. Binários PEF do Mac OS Clássico, colocam os Bundle antes do código da aplicação, que está no data fork. Ou seja, não começa no offset 0, como os binários Mach-O do Mac OS X, assim o iTunes identifica como uma mp3 válida e
inclusive permite que você escute uma música, porém o Finder reconhece como aplicativo, e ao dar 2 cliques nele, você irá executar o código da aplicação. É um aplicativo COMUM, com uma mp3 como bundle e com um
ícone e extensão de arquivo MP3. Ao dar um Get Info você verá que é do tipo APPL (Application).
Segundo:
This Trojan horse has the potential to do any of the following:
• Delete all of a user’s personal files
• Send an e-mail message containing a copy of itself to other users
• Infect other MP3, JPEG, GIF or QuickTime files
Deletar arquivos do /home? Sim, poderia fazer. Como escrevi na minha matéria sobre segurança em Mac, da Macmania em Dezembro/2003, NÃO é recomendado utilizar uma conta admin para as tarefas do dia-a-dia, assim você não irá comprometer seu sistema.
Enviar emails contendo a cópia do próprio aplicativo, poderia enviar, mas teria que preservar o resource fork, pois é um aplicativo Carbon/CFM. INFECTAR outros arquivos MP3, JPEG, GIF etc, etc…? HA HA HA! Nunca! Não tem como, isso é apenas um programa.
Enfim, não precisam se preocupar, isso foi só um alarde dessa empresa. Na próxima Macmania, estaremos explicando melhor. Inclusive, fizemos uma entrevista c/ o programador que fez o primeiro programa demonstrando essa fragilidade, que já existe desde o System 1.0 (!!!) e todos os programadores de Mac sabiam; é o famoso “pega-ratão”.
—
Agradecimentos e um grande abraço ao meu camarada William Lima!