Er gaat malware rond die als doel heeft gebruikersnamen en wachtwoorden van Mac-gebruikers te stelen. Dat heeft beveiligingsbedrijf Eset ontdekt. De gegevens komen uit de 'Sleutelhanger', een programma op de Mac dat gevoelige informatie voor gebruikers bewaart.

De onderzoekers hebben de malware de naam Keydnap gegeven en zeggen dat die op verschillende manieren probeert binnen te komen. Zo zit de malware onder meer verstopt als bijlage in een mailbericht.

Spatiefoutje
In het bericht zit een .zip-bestand (een pakketje waar gecomprimeerde bestanden inzitten). Als een gebruiker dat opent, treft die daar onder meer een afbeelding aan, een .jpg.

Klikt de gebruiker daar vervolgens op en staat de Gatekeeper-beveiliging uit, dan opent zich naast de afbeelding ook heel kort het programma Terminal. Dit is mogelijk doordat de kwaadwillenden achter ‘jpg’ een spatie hebben gezet. Met Terminal kunnen commando’s worden gegeven aan OS X. Daardoor kan Keydnap zichzelf in het systeem nestelen.

Wat is Gatekeeper?
Gatekeeper is een beveiligingslaag binnen OS X die alleen bestanden toelaat die een handtekening van Apple hebben gekregen. Deze staat standaard aan en zou in het geval van Keydnap dus voor de installatie gebruikers waarschuwen. Omdat lang niet alle (goede) programma's zo'n handtekening hebben, zetten veel gebruikers de functie uit.

Wil je weten of Gatekeeper op jouw computer aanstaat? Ga dan naar Systeemvoorkeuren > Beveiliging & Privacy > het tabje 'Algemeen' en controleer welke bronnen de computer toestaat. Er zijn drie opties, bij de onderste krijg je als gebruiker geen waarschuwing.

Meer rechten?
Op een gegeven moment vraagt het programma aan de computer om meer rechten. De gebruiker krijgt dat verzoek in een pop-up te zien. Bijna alle Mac-gebruikers zullen dat herkennen, omdat bijna ieder programma er wel eens om vraagt.

Als een gebruiker niet goed oplet en met zijn wachtwoord toestemming geeft, heeft Keydnap onbeperkt toegang en kan het gebruikersnamen en wachtwoorden stelen. Als de makers van de malware dat willen, kunnen ze het systeem ook de opdracht geven om bijvoorbeeld iemand via de webcam te volgen, zeggen de onderzoekers van Eset.

Meer malware
Het is onduidelijk of Apple er iets tegen gaat doen. Het gebruik van de spatie in bestandsnamen is namelijk een functie (die nu dus op een handige manier wordt misbruikt). Hoeveel mensen er al last hebben gehad van Keynap, is onbekend.

Er gaat de laatste tijd meer malware voor de Mac rond. Een andere variant zat in EasyDoc Converter en deed zich voor als een programma dat bestanden omzet. Dat programma was verkrijgbaar via de populaire app-website MacUpdate.