O designer Stephen Meyers, criador dos widgets Flores e Coras publicou uma página onde alerta para um perigo que ronda os usuários do Safari: widgets malignos poderiam ser facilmente instalados ao se acessar uma página qualquer. Para provar a sua descoberta, Stephen criou uma página simples: basta acessar o URL (http://stephan.com/widgets/zaptastic/) para o seu Safari baixar automaticamente o widget zaptastic, criado por ele.
Por que acontece isto? O Safari possui um procedimento de segurança padrão para abrir arquivos (.dmg, .zip etc.) após eles serem baixados: ele pergunta ao usuário se é isto mesmo que ele quer. Simples assim. O problema é que widgets não são detectados como programas malignos até agora. Até porque por padrão, eles não podem fazer muito estrago, até que se instale-os no Dashboard.
Depois de estarem lá, eles não podem ser apagados tão obviamente. Não há uma maneira fácil, a não ser ir até a pasta ~/Library/Widgets e apagar o programinha chato. Além disto, a informação oficial da Apple não ajuda muito macusuários menos experientes. Não há informações sobre remoção de widgets.
Mesmo assim, prevenção para isto é fácil: basta desligar no Safari a opção para abrir automaticamente arquivos que são baixados. Este procedimento já foi comentado aqui no Macnarama.
Saiba mais
Stephan.com: zaptastic — blueprint for a widget of mass destruction (ATENÇÃO! Ao clicar no link, o Safari pode carregar o widget zaptastic automaticamente!)
Slashdot: Malicious Web Pages Can Install Dashboard Widgets