Por @Wicho — 10 de Mayo de 2005

No está del todo claro el alcance que puede tener esto, pero si usas Safari 2.0 con Mac OS X 10.4 y no has tocado los ajustes por defecto, podrías encontrarte con que una página web diseñada a tal efecto puede descargar e instalar un widget de Dashboard en tu Mac automáticamente como cuentan en zaptastic: blueprint for a widget of mass destruction. [AVISO IMPORTANTE: si usas Safari 2.0 con Mac OS X 10.4 y no has tocado las opciones por defecto este enlace instalará un widget tirando a molesto]

Esto en si no supone realmente nada porque aunque un widget esté instalado no se activa hasta que tú lo haces, pero quién sabe, con un poco de ingeniería social se pueden lograr cosas mucho más complicadas.

El problema de todo esto es que aunque se supone que los widgets no deberían poder hacer mucho daño en realidad pueden hacer cualquier cosa que el usuario pueda hacer, como por ejemplo borrar un archivo, ejecutar comandos desde la línea de comandos, un AppleScript...

El remedio por ahora es desactivar la opción de Abrir archivos seguros al descargarlos en Safari, o no usar Safari en absoluto.

Hay más información en Dashboard: Widget (In)Security, y es de suponer que Apple corrija eso en una próxima versión del sistema o en una actualización de seguridad, pero la verdad es que parece mentira que a estas alturas del baile alguien sea capaz de sacar un sistema con un agujero de seguridad tan enorme como este.

Compartir en Flipboard  Compartir en Facebook  Tuitear

8 comentarios

#1 — Eneko

Luego os reis de Windows.. jajajajajaja

#2 — Camarada Bakunin

Permitidme un poquito de malicia: jijiji...

Hay cabrones por todas partes.

#3 — nobody

Realmente os parece un agujero de seguridad? en la web de desarrollo de widgets lo dice claramente:

- puede ejecutar cualquier comando UNIX

Por lo que se está bastante avisado... no hay más diferencia que bajarse un programa cualquiera de internet, instalarlo y ejecutarlo ... podría hacer exactamente lo mismo... no?

hay que tener un poco de ojo vamos.. digo yo

#4 — Wicho

hay que tener un poco de ojo vamos.. digo yo

Ese es el problema, EMO.

Hay mucho patonauta suelto al que no le extrañaría que una página web descargara e instalara algo automáticamente en su máquina, y en este caso ese algo puede ser potencialmente peligroso.

Además, si no sabes dónde se instalan los widgets para borrarlos a mano, no hay forma de eliminar uno que te esté haciendo la puñeta.

#5 — nobody

Eso es cierto, la opción poco segura a mi entender es que Safari decida ejecutar by default, no los widgets.

En cualquier caso un panel de control para ver que widgets tienes y como borrarlos o instalarlos no estaría de más.

#6 — miguel

Esto es una gran cagada a mi entender. Se supone que la navegación en un mac, al igual que en un equipo con Linux es más segura que en un PC porque no te instala basura sin que te des cuenta. Con este tema, cualquiera podria instalarte automaticamente un widget que te sacara publicidad cada vez que vas al dashboard. Es una cagada. Apple debería sacar YA una actualización que desactivara por defecto esa característica en Safari.

#7 — Nacho

Para controlar los widgets, borrarlos, reiniciar el dashboard si tener que reiniciar el usario y todo eso se puede usar Widget Manager

#8 — Eneko

Bueno, como siempre estos problemas no residen en el sistema operativo, sino en la permisividad de los navegadores.

Windows es igualmente seguro si desactivas todo lo referente a ActiveX y tal. Por ejemplo es lo que tiene de bueno Firefox. Que algo se te instale sin tu permiso es harto difícil.

Resumiendo, los operativos no tienen nada que ver en esto. Los navegadores y sus opciones por defecto sí.