Trojan per Mac OS X: un po' di chiarezza

Un grosso polverone si è sollevato attorno alla notizia dei giorni scorsi circa la scoperta del primo Trojan, MP3Virus.Gen, per il sistema operativo Mac Os X. La domanda ricorrente è se ci si trovi davanti ad un reale pericolo oppure se è stato fatto eccessivo allarmismo per nulla o quasi. La notizia diffusa da Intego, come vedremo, ha comunque tutta l'aria di far parte di una ben congegnata strategia di marketing.

Apple-x.net, sito dedicato agli utenti della Mela, ha per primo preso le distanze dall'annuncio di Intego, accusando la compagnia di non essere stata particolarmente chiara e trasparente circa l'operato di MP3Virus.Gen. Secondo Apple-x.net, infatti, Intego non è stata particolarmente precisa circa la distinzione tra MP3 e applicazione camuffata da MP3: nel primo caso infatti, il virus non potrebbe essere eseguibile poichè si tratta, appunto, di un file MP3, nel secondo caso, invece, essendo un'applicazione non vi sarebbe posto per un tag ID3.

MP3Virus.Gen è invero una applicazione Carbon il cui data fork mascherato da tag ID3 contiene il codice "virale". Alla luce di quanto detto MP3Virus.Gen non è altro che un'applicazione che come tale rimbalzerebbe nel dock non appena lanciata, cosa che non farebbe un file MP3 in quanto aperto da iTunes. Per questo motivo MP3Virus.Gen, sebbene potenzialmente dannoso, resta semplicemente un programma mascherato "alla buona" da MP3. Controllando le proprietà del file, inoltre, si scoprirebbe facilmente che si tratta di un'applicazione e non di un file multimediale.

Si sono quindi accese le polemiche attorno alle modalità con cui Intego ha informato il mondo circa questo presunto "virus". Secondo molti esperti del settore, infatti, Intego non avrebbe scoperto nessun virus ma avrebbe solamente dato la notizia, in modo piuttosto fraintendibile, che una qualsiasi applicazione Carbon può essere camuffata da MP3, ingannando l'utente. I molti detrattori, inoltre, criticano come Intego non abbia comunque dato notizie circa il nome del file che conterrebbe il frammento di codice dannoso.

Non mancano le critiche da parte di chi ha avuto modo di testare l'aggiornamento di Virus Barrier rilasciato da Intego: pare infatti che l'antivirus segnali come infetti anche alcuni plugin di Photoshop probabilmente perché questi contengono frammenti di codice simili a quelli del virus.

Nella serata tra Venerdì e Sabato, Apple ha rilasciato un comunicato con il quale ha informato di aver preso atto delle comunicazioni di Intego e di essere al lavoro per valutare i rischi: "Benché nessun sistema operativo possa essere completamente sicuro Apple ha una eccellente storia pregressa in fatto di identificazione e rapida correzione di potenziali vulnerabilità".

In seguito alle numerose polemiche, Intego ha deciso di pubblicare un documento chiarificatore circa l'intera vicenda. Nel documento viene esposta, senza possibilità di interpretazione, la modalità in cui è possibile camuffare un'applicazione da file MP3.

Sebbene non direttamente coinvolta, anche Symantec è intervenuta nella vicenda, confermando quanto dichiarato nel documento di Intego e aggiungendo che il worm perde il proprio potenziale dannoso nel caso in cui venga eseguito direttamente da iTunes e non dal Finder.

Vi sarebbe, inoltre, un altro aspetto non esplicitamente dichiarato, ma verificato tramite alcuni test, che ridurrebbe quasi a zero i rischi del presunto virus: MP3Virus.Gen diventa innocuo se, prima di essere spedito per email o scaricato, non viene compresso in .sit o in zip.

Tirando le somme di tutta la vicenda è abbastanza palese il fatto che il pericolo, se così si può chiamare, esiste veramente sebbene in realtà sia davvero molto limitato: MP3Virus.Gen rappresenta solamente un esperimento nato tra i gruppi Usenet al fine di dimostrare una modalità, seppure piuttosto rozza, per poter infettare il sistema operativo OS X. Apple provvederà a rendere disponibile a breve una patch che permetterà di identificare con maggiore chiarezza un'applicazione da un file, e rendere così impossibile l'utilizzo di questa tecnica.

Rimangono comunque molte perplessità circa i modi con i quali Intego ha voluto portare alla luce la questione, ovvero con poca chiarezza e molto rumore. "Non è importante che si parli bene o si parli male di me, l'importante è che si parli di me"...

Fonte: Macitynet - Ars Technica