| 7 сен 2018 — 7:22 PT
[Обновление 8:54 PT: Apple удалила Adware Doctor из Mac App Store. Подробнее ниже.]
Adware Doctor, платная утилита №1 в Mac App Store, тайно регистрирует историю браузера пользователей и отправляет ее на сервер в Китае.
Исследователь безопасности Патрик Уордл утверждает, что уведомил Apple об этом месяц назад, но вредоносное приложение до сих пор доступно в Mac App Store…
Threatpost отмечает, что все в приложении выглядит легитимно.
В настоящее время приложение находится в магазине Apple Mac App Store как четвертая по популярности программа компании в категории «Самые продаваемые», уступая только Final Cut Pro, Magnet и Logic Pro X. Это также платная утилита №1 в магазине. Приложение стоит 4,99 доллара, имеет действующую подпись Apple, а его страница в Mac App Store сопровождается большинством восторженных [вероятно, поддельных] пятизвездочных отзывов. Adware Doctor позиционирует свое приложение как средство предотвращения «вредоносных программ и вредоносных файлов, заражающих ваш Mac».
Изначально приложение называлось Adware Medic, было приобретено Malwarebytes (и впоследствии переименовано в Malwarebytes for Mac), что привело к его удалению Apple. Но после смены названия на Adware Doctor, Apple разрешила ему вернуться в App Store.
Уордл провел глубокий анализ приложения, чтобы выяснить, что оно делает, после того как получил уведомление от Privacy 1st.
Он обнаружил, что приложение создает архив с паролем под названием history.zip. Затем оно загружает этот файл на сервер, который, по-видимому, находится в Китае. Уордл обнаружил, что пароль был жестко закодирован, что позволило ему открыть zip-архив и изучить его содержимое. Он выяснил, что он содержал историю браузеров Chrome, Firefox и — да — Safari.
Уордл отмечает, что песочница (sandboxing) должна предотвращать доступ приложений Mac к данным других приложений, но Adware Doctor запрашивает универсальный доступ при первом запуске — что ожидаемо для сканирования на вредоносные программы и не должно вызывать подозрений. Однако он обнаружил, что приложение также смогло получить доступ к запущенным процессам, чего песочница все еще должна была предотвратить.
Иронично, но он обнаружил, что приложение обходит эту защиту, используя собственный код Apple.
Это (вероятно) просто копирование и вставка кода Apple GetBSDProcessList (найденного в техническом вопросе и ответе QA1123 «Получение списка всех процессов в Mac OS X»). По-видимому, именно так можно получить список процессов из песочницы приложения! Я предполагаю, что этот метод несанкционирован (поскольку он явно противоречит целям изоляции песочницы). И да, весьма забавно, что код, который Adware Doctor использует для обхода песочницы, напрямую взят из Apple!
Приложение также регистрирует загруженные вами приложения и их источник.
На момент написания статьи сервер, собирающий данные, неактивен, возможно, из-за привлеченного внимания, но его легко можно снова активировать.
Уордл говорит, что его больше всего беспокоит, почему Apple оставила вредоносное ПО в Mac App Store через месяц после того, как он уведомил компанию о своих находках.
Обновление: Мы понимаем позицию Apple, согласно которой приложение не обходит песочницу, поскольку целью является обеспечение того, чтобы пользователи контролировали, что приложения могут делать, а что нет, и именно пользователи предоставляют разрешение. Тем не менее, macOS Mojave усиливает защиты песочницы, так что даже если пользователь предоставит разрешение на полный доступ, это все равно будет защищать конфиденциальную информацию, такую как история Safari и файлы cookie.
Посетите 9to5Mac на YouTube для получения других новостей Apple: