| 9 сентября 2018 г. — 1:47 pm PT
[Обновление 10.09, 4:50 am PT: Сертификат, выданный для домена drcleaner.com, зарегистрирован на Trend Micro, Inc. Также домен, на который загружаются данные, является поддоменом trendmicro.com, это означает, что приложения фактически распространяются Trend Micro, Inc.]
[Обновление 09.09, 7:46 pm PT: Приложения, обсуждаемые в этой статье, были удалены из Mac App Store.]
Когда вы предоставляете приложению доступ к вашей домашней папке в macOS, даже если это приложение из Mac App Store, стоит хорошо подумать. Похоже, мы наблюдаем тенденцию приложений Mac App Store, которые убеждают пользователей предоставить им доступ к их домашней папке под предлогом сканирования на вирусы или очистки кэша, в то время как истинная причина заключается в сборе пользовательских данных — особенно истории браузера — и загрузке их на свои аналитические серверы.
Сегодня мы поговорим конкретно о приложениях, распространяемых разработчиком, который называет себя «Trend Micro, Inc.», включая Dr. Unarchiver, Dr. Cleaner и другие. Эта проблема ранее была отмечена пользователем на форуме Malwarebytes и в другом отчете. Другие исследователи последовали их примеру и обнаружили, что приложения, распространяемые этой учетной записью «Trend Micro, Inc.» в Mac App Store, собирают и загружают историю браузера пользователя из Safari, Google Chrome и Firefox на свои серверы. Приложение также собирает информацию о других установленных в системе приложениях. Вся эта информация собирается при запуске приложения, которое затем создает zip-архив и загружает его на серверы разработчика.
Нам удалось подтвердить эти сообщения, по крайней мере, для приложения Dr. Unarchiver. После извлечения zip-архива приложение предложило опцию «Быстрая очистка ненужных файлов». Выбор «Сканировать» открыл диалоговое окно открытия с выбранной домашней папкой; таким образом приложение получает доступ к домашней папке пользователя, который ему необходим для сбора файлов истории из браузеров. После предоставления доступа к домашней папке приложение продолжило собирать личные данные и загружать их на свои серверы (мы заблокировали это с помощью прокси). Прокрутите вниз, чтобы увидеть скриншоты.
Анализ файлов, которые приложение архивирует и загружает на свои серверы, выявил полную историю браузера для Safari, Google Chrome и Firefox, отдельные файлы, специально предназначенные для хранения недавних поисковых запросов пользователя в Google в тех же браузерах, и файл, содержащий полный список всех установленных в системе приложений, включая информацию о том, откуда они были загружены, совместимы ли они с 64-битными системами и имеют ли цифровую подпись.
На сегодняшний день «Dr. Unarchiver» является самым популярным бесплатным приложением №12 в американском Mac App Store. Это серьезная проблема конфиденциальности, и мы ожидаем, что Apple довольно быстро удалит эти приложения из Mac App Store. Пользователи не ожидают, что приложения с песочницей получат такой уровень доступа к своим системам, но важно отметить, что когда песочница приложения открывает диалоговое окно открытия файла, и вы используете его для открытия вашей домашней папки, приложение потенциально может получить доступ ко множеству личной информации, включая историю браузера, сообщения iMessage, электронные письма и многое другое. Apple улучшает эту ситуацию с macOS Mojave, но процесс проверки App Store должен был выявить эту практику и отклонить приложения за нарушение конфиденциальности пользователей.
Метод, используемый обсуждаемыми здесь приложениями, очень похож на то, что делал Adware Doctor. Если вы хотите защитить себя от подобных проблем, никогда не предоставляйте приложениям — даже из App Store — доступ к вашей домашней папке; это может произойти, если приложение выведет диалоговое окно открытия файла, и вы откроете с его помощью свою домашнюю папку, или если вы перетащите свою домашнюю папку в приложение.
После извлечения zip-архива приложение предлагает «очистить ненужные файлы»
С помощью прокси нам удалось перехватить запрос, который делает приложение,
загружая zip-архив с пользовательскими данными
Небольшая выборка данных, собранных приложением из моей истории Safari