Er is nieuwe malware gerapporteerd die gebruikersnamen en wachtwoorden van Mac-gebruikers steelt, aldus de makers van de virusscanner Eset. De gegevens komen uit de ‘Sleutelhanger’, het Mac-programma dat gevoelige informatie voor gebruikers op een veilige manier bewaart. De onderzoekers hebben de malware de naam Keydnap gegeven en zeggen dat die op verschillende manieren probeert binnen te komen. Zo zit de malware, zoals we vaak zien, verstopt als bijlage in een mailbericht.

Spatiefoutje

In het bericht zit een .zip-bestand (een pakketje waar bestanden inzitten). Als een gebruiker dat opent, treft die daar onder meer een afbeelding aan, een .jpg. Klikt de gebruiker daar vervolgens op en staat de Gatekeeper-beveiliging uit, dan opent zich naast de afbeelding ook heel kort het programma Terminal. Dit is mogelijk doordat de kwaadwillenden achter ‘jpg’ een spatie hebben gezet. Met Terminal kunnen commando’s worden gegeven aan OS X. Daardoor kan Keydnap zichzelf in het systeem nestelen.

Op een gegeven moment vraagt het programma aan de computer om meer rechten. De gebruiker krijgt dat verzoek in een pop-up te zien. Bijna alle Mac-gebruikers zullen dat herkennen, omdat bijna ieder programma er wel eens om vraagt. Als een gebruiker niet goed oplet en met zijn wachtwoord toestemming geeft, heeft Keydnap onbeperkt toegang en kan het gebruikersnamen en wachtwoorden stelen.

Als de makers van de malware dat willen, kunnen ze het systeem ook de opdracht geven om bijvoorbeeld iemand via de webcam te volgen, zeggen de onderzoekers van Eset.

Meer malware

Het is onduidelijk of Apple er iets tegen gaat doen. Het gebruik van de spatie in bestandsnamen is namelijk een functie (die nu dus op een handige manier wordt misbruikt). Hoeveel mensen er al last hebben gehad van Keynap, is onbekend. Er gaat de laatste tijd meer malware voor de Mac rond. Een andere variant zat in EasyDoc Converter en deed zich voor als een programma dat bestanden omzet. Dat programma was verkrijgbaar via de populaire app-website MacUpdate.