Wonderlijk verhaal. Ten eerste de aanvalvector die de uitvoering van enige code vereist, en die via een "wrapper" rond een onschuldig bestand zomaar uitvoerbaar zou zijn. Dat is nogal een hobbel, voor de executie van ongewenste code is meestal de exploitatie van een buffer overflow o.i.d. of de gebruiker zelf (phising, misleiding) een vereiste. De codebibliotheken die voor de weergave van beelden e.d. worden gebruikt (het aanvalsoppervlak voor de het doen uitvoeren van je kwaadaardige code) zijn zo langzamerhand behoorlijk gehard tegen buffer overflows e.d., dus heel makkelijk is de "wrap" niet echt. Ten tweede, kan per opgeslagen geheim in de sleutelhanger worden ingesteld of Sleutelhangertoegang (Keychain access) de gebruiker autenticeert ter autorisatie van het vrijgeven van het geheim. Voor een demootje kan je dus heel simpel een paar geheimen opzetten waarvoor de autorisatie voor vrijgave van het geheim geen authenticatie van de gebruiker (middels ingave van zijn wachtwoord) vereist. Ergo: lijkt me ...