'Apple's Dashboard-patch onvoldoende'

Kritiek op halfbakken dialoogvenster

24 mei 2005 | Lars Pasveer Widgets, een van de jongste standaard toevoegingen in Apple's Mac OS X-besturingssysteem, houden nog altijd een risico in, ondanks een recente update. Veiligheidsexperts waarschuwen voor de misleidende bewoordingen in de systeemdialogen.

De widgets (in Tiger 'Dashboard' genaamd) zijn fraai vormgegeven programmaatjes, in essentie kleine scripts die bepaalde taken kunnen uitvoeren. Daarbij valt te denken aan automatische vertaling van woorden, het weergeven van de weersverwachting of het opzoeken van telefoonnummers.

Daar is weinig op tegen, maar de scripts kunnen door hackers ook simpel voor minder goedaardige doeleinden gebruikt worden. De manier waarop Apple in Tiger widgets implementeerde, kwam het bedrijf op kritiek te staan: wie een link aanklikte met daarin widget-code, voegde het script zonder enige verdere controle toe aan het besturingsssyteem.

Apple reageerde snel met een update, die het Tiger-besturingssysteem bijwerkte met een extra tussenstap in de vorm van een dialoogvenster. Experts zijn nog altijd niet tevreden, omdat het venster spreekt over 'downloaden', terwijl het script niet alleen wordt opgehaald, maar nog altijd zonder controle aan de widget-bibliotheek wordt toegevoegd.

Programmeur Jonathan Zdziarski vindt het probleem ernstig genoeg om er een algemene waarschuwing over uit te geven op de zogenoemde Full Disclosure-lijst, een discussieplatform voor beveiligingsrisico's. Zdziarski: "Apple heeft de downloadknop vreselijk verkeerd benoemd. Als ik iets download, verwacht ik alleen een download, terwijl de widget in feite wordt geïnstalleerd."

Zdziarski ziet als grootste gevaar een widget die in de achtergrond bijhoudt wanneer een gebruiker inlogt met beheerderrechten. Onder OS X werkt een gebruiker uit veiligheidsoverwegingen standaard in een omgeving met minder rechten. Een kwaadaardige widget kan het password afvangen en doorspelen aan derden.

Apple stimuleert de ontwikkeling van Dashboard-widgets, maar onthoudt zich van commentaar op kritiek over de laatste Dashboard-pleister. Tiger-gebruikers kunnen risico's vermijden door alleen widgets te installeren vanaf betrouwbare lokaties, zoals de Apple-website of zich voorlopig tevreden stellen met het handjevol meegeleverde scripts.

Met een bijdrage van Joris Evers, CNet. Lees meer artikels over : apple, widget, dashboard, tiger, script

bron: ZDNet