Applescript+ARDAgent: problema de seguridad en Mac OS X

Un artículo en Slasddot ha iniciado la polémica sobre un nuevo agujero de seguridad en Mac OS X relacionado con el acceso a ARDAgent que tiene Mac OS X: ARDAgent es una aplicación relacionada con Apple Remote Desktop, y viene por defecto instalada en Mac OS X desde Mac OS X 10.4 Tiger.

productos_leopard2.pngUn artículo en Slasddot ha iniciado la polémica sobre un nuevo agujero de seguridad en Mac OS X relacionado con el acceso a ARDAgent que tiene Mac OS X: ARDAgent es una aplicación relacionada con Apple Remote Desktop, y viene por defecto instalada en Mac OS X desde Mac OS X 10.4 Tiger.

La vulnerabilidad, que puede formarse a través de un script de Applescript, hace una llamada a ARDAgent lo que le permite ejecutar un script de shell (Terminal) lo que permite realizar tareas en el ordenador de todo tipo con acceso Root. Este tipo de «agujero» de seguridad requiere:

  1. Acceso físico al ordenador (no puede ejecutarse de forma remota) para ejecutar el Applescript
  2. Funciona con cuentas con y sin privilegios de administrador
  3. Funciona aunque Compartir Pantalla no esté activado

El problema está basado en como ARDAgent utiliza la información que recibe desde Applescript y la pasa a la siguiente orden, ejecutando el siguiente comando (en este caso, un script de Shell).

Las posibles soluciones, mientras Apple publica algún tipo de actualización de seguridad, pasan por el borrado o enmascaramiento de ARDAgent, pero si utilizas y/o necesitas Compartir Pantalla, la desactivación de ARDAgent desactivará esta característica de Mac OS X.

Resulta evidente que el acceso físico a un ordenador solo debe estar disponible a usuarios en los que se pueda confiar para evitar estos problemas. También es posible ejecutar este tipo de acciones vía un instalador malformado de una aplicación no segura, así que es siempre conveniente descargar, instalar y utilizar aplicaciones de desarrolladores «confiables».

La solución más sencilla para evitar este problema, si no necesitas el uso de Compartir Pantalla o Apple Remote Desktop en el ordenador es renombrar la aplicación usando el Terminal y este comando:

sudo mv /System/Library/CoreServices/RemoteManagement/ARDAgent.app /System/Library/CoreServices/RemoteManagement/textoaleatorio_ARDAgent.app

Password: tu_contraseña de cuenta admnistrativa

Con este comando, renombraremos ARDAgent y se evitará el uso del mismo.

In this article


Join the Conversation