Home > Dicas

Falha de segurança no Mac: o que você precisa saber

Veja as boas e as más notícias sobre brecha no OS X, que pode liberar acesso remoto ao computador.

Por Rob Griffiths/Macworld EUA

27/06/2008 às 11h28

Foto:

Na última semana, você deve ter se chocado com informações de malware afetando o Mac OS X. O primeiro alerta veio da Intego, dizendo que existe um problema nos privilégios do ARDAgent que, em resumo, é bem feio.

Qualquer um rodando o OS X 10.4 e 10.5 tem um programa instalado chamado ARDAgent (ele fica em Computador | Biblioteca |  CoreServices | pasta RemoteManagement. O ARDAgent é um aplicativo para o Apple Remote Desktop, e serve para quem usa o Apple Remote Desktop para gerenciar um grande número de Macs - ele pode rodar programas em nome do administrador remoto, por exemplo.

Para fazer o que é preciso, entretanto, o ARDAgent roda como um processo root, muito parecido com as funções de baixo nível do sistema, como imprimir. E isso não é ruim. O problema surge quando o ARDAgent pode ser usado para rodar scripts shell em AppleScript pelo Terminal - já que qualquer script shell que o ARDAgent rodar vai ser executado como root, sem necessidade do usuário digitar sua senha de administração. Aqui entra a situação potencialmente perigosa, já que um possível invasor use o ARDAgent para rodar códigos maliciosos dentro do sistema sem que o usuário digite a senha.

Por anos, imaginamos que se um programa não requisita uma senha de administrador o dano que ele causa seria limitado - como apagar sua pasta de usuário, mas não controlar a máquina sem seu conhecimento. Até que a Apple corrija este problema específico, essa afirmação não é mais verdadeira.

Já que o código roda na raiz do sistema, pode instalar coisas em locais que você não vê com facilidade e disfarça o fato de que tais coisas estão em funcionamento, tornando-as difíceis de achar e remover.
++++
Desde o anúncio dessa brecha de segurança, surgiram diversos relatos de programas que poderiam tomar vantagem disso para fazer coisas más. Alguns deles são cavalos de Tróia (que fingem ser uma coisa, mas são outra).

Em um exemplo, o código malicioso pode instalar um keylogger (programa que registra tudo que você digita), configurar um servidor de acesso remoto para aceitar conexões (para controlar sua máquina) e até permitir rodar programas como root sem aprovação do usuário - e por aí vai.

O que fazer?
Bem, é relativamente fácil se proteger do problema. A maioria dos vendedores de produtos de segurança já atualizou (ou vai atualizar em breve) seus programas para corrigir a falha - e qualquer malware conhecido que se aproveite dela. Se você usa tais produtos, atualize suas definições de vírus.

Se você não usa um programa antivírus, aqui está um método relativamente simples para resolver o problema por sua conta (faça um backup antes, por favor). Navegue para Sistema | Biblioteca | CoreServices | RemoteManagement e Control-clique no ARDAgent.

No menu contextual que aparecer, selecione Criar Arquivo Comprimido de ARDAgent. Isso irá criar um arquivo compactado do ARDAgent no seu Desktop (já que você não tem direitos de modificar a pasta original).

++++
Depois, arraste o ARDAgent para a lixeira, digite a senha de administrador, e esvazie o lixo. Finalmente, arraste a versão compactada do ARDAgent para a pasta RemoteManagement, digitando novamente a senha quando o sistema pedir. (Esta última parte é opcional. Você pode manter o arquivo onde quiser, mas achamos mais fácil mantê-lo ao local que ele pertence).

Quando a Apple corrigir o problema, descomprima o arquivo antes de rodar a Atualização de Software (para que ela encontre o aplicativo completo para corrigir). Note que esta solução irá prevenir qualquer um de usar o Apple Remote Desktop para controlar seu Mac.

Caso você esteja em um ambiente em que o Apple Remote Desktop seja necessário - como empresas ou escolas - você precisa falar com os administradores do sistema para ver qual solução eles pretendem adotar para resolver a questão.

Outra notícia boa é que, para tomar vantagem das falhas no ARDAgent, alguma interação do usuário ainda é necessária: você precisa instalar e rodar um programa projetado para aproveitar a falha.

Isso não vai acontecer ao navegar na web (como ocorre no mundo Windows) ou ao ler e-mails. Para comprometer sua máquina, realmente é preciso executar um programa malicioso - ele não vai se espalhar de uma máquina para outra ou pela rede local.
++++
Como prevenir isso? Não rodar programas de fontes desconhecidas - é a regra válida desde o início da computação. Fuja de software distribuído em redes P2P. Faça downloads de locais confiáveis, como o MacUpdate e o VersionTracker.

E, se estiver em dúvida, espere alguns dias para ver se as fontes oficiais têm comentários de outros usuários (muita gente gosta de ser o ratinho de laboratório, você não precisa disso).

Se você quer baixar algo que tem pouco feedback, use um mecanismo de buscas para ver o que a internet em geral pensa do programa. E, finalmente, o melhor modo de se proteger é garantir que você tenha um backup atualizado e, de preferência, duplicado. Se algo der errado, nenhum dado será perdido.

Em resumo, o problema de segurança do ARDAgent é ruim, mas a boa notícia é que, para causar problemas, é preciso interação do usuário. Se você comprimir e remover o ARDAgent e baixar software apenas de fontes confiáveis, as chances são muito baixas de que você seja afetado pela falha.

Esperamos que a Apple irá lançar uma correção em breve, mas até que isso aconteça, faça  downloads seguros para minimizar sua exposição a outros problemas de segurança.

Junte-se a nós e receba nossas melhores histórias de tecnologia. Newsletter por e-mail Newsletter por e-mail