Na última semana, você deve ter se chocado com informações de malware afetando o Mac OS X. O primeiro alerta veio da Intego, dizendo que existe um problema nos privilégios do ARDAgent que, em resumo, é bem feio.

Qualquer um rodando o OS X 10.4 e 10.5 tem um programa instalado chamado ARDAgent (ele fica em Computador | Biblioteca |  CoreServices | pasta RemoteManagement. O ARDAgent é um aplicativo para o Apple Remote Desktop, e serve para quem usa o Apple Remote Desktop para gerenciar um grande número de Macs - ele pode rodar programas em nome do administrador remoto, por exemplo.

Para fazer o que é preciso, entretanto, o ARDAgent roda como um processo root, muito parecido com as funções de baixo nível do sistema, como imprimir. E isso não é ruim. O problema surge quando o ARDAgent pode ser usado para rodar scripts shell em AppleScript pelo Terminal - já que qualquer script shell que o ARDAgent rodar vai ser executado como root, sem necessidade do usuário digitar sua senha de administração. Aqui entra a situação potencialmente perigosa, já que um possível invasor use o ARDAgent para rodar códigos maliciosos dentro do sistema sem que o usuário digite a senha.

Por anos, imaginamos que se um programa não requisita uma senha de administrador o dano que ele causa seria limitado - como apagar sua pasta de usuário, mas não controlar a máquina sem seu conhecimento. Até que a Apple corrija este problema específico, essa afirmação não é mais verdadeira.

Já que o código roda na raiz do sistema, pode instalar coisas em locais que você não vê com facilidade e disfarça o fato de que tais coisas estão em funcionamento, tornando-as difíceis de achar e remover.