ОДНО ИЗ САМЫХ ПОПУЛЯРНЫХ ПРИЛОЖЕНИЙ ДЛЯ MAC РАБОТАЕТ КАК SPYWARE

ОДНО ИЗ САМЫХ ПОПУЛЯРНЫХ ПРИЛОЖЕНИЙ ДЛЯ MAC РАБОТАЕТ КАК SPYWARE
Сентябрь 08 17:21 2018


APPLE , ГОРДИТСЯ ТЕМ , ЧТО она делает приоритетом безопасность для пользователей и конфиденциальность . Apple  считает магазины приложений iOS и Mac, где клиенты могут загружать массив доверенных, проверенных программ, одним из краеугольных камней этой инициативы. Но в то время как такой подход сводит к минимуму ситуации, когда пользователей обманывают, через  загрузку чего-то неприятного в открытую сеть, вредоносное ПО неизбежно проскальзывает. В этом случае, похоже, это одно из самых популярных предложений в Mac App Store.

Приложение для проверки безопасности Adware Doctor в настоящее время занимает четвертое место в списке популярных приложений для Mac App Store. Но после того, как исследователь, который поделился с «Конфиденциальной информацией», выпустил видеоролик с доказательством концепции с подозрительным поведением в приложении, исследователи безопасности Mac Patrick Wardle of Digita Security и Томас Рид из Malwarebytes самостоятельно исследовали его.

Исследователи обнаружили, что Adware Doctor собирает данные о своих пользователях, в частности историю просмотров и список других программ и процессов, запущенных на машине, сохраняет данные в заблокированном файле и периодически отправляет их на сервер, который, по-видимому, находится в Китай. (Для чего это стоит, они говорят, что это тоже не очень хороший рекламный сканер.) Все эти действия, похоже, нарушают правила разработчика App Store, но в то время как Privacy 1st уведомила Apple о проблемах несколько недель назад, приложение остается.

Обновление: через несколько часов после публикации этой статьи — и через несколько недель после того, как исследователи безопасности впервые связались с ним — Apple удалила Adware Doctor из магазина Mac App Store. 1 )

ЛИЛИ ХЕЙ НЬЮМАН

«К сожалению, App Store действительно не является безопасным убежищем, которое Apple хотела бы, чтобы люди думали, что это так», — говорит Рид. «Мы обнаруживаем и отслеживаем несколько различных подозрительных приложений в App Store. Некоторые из них были удалены быстро, а другие заняли целых шесть месяцев, чтобы их удалили. Это не просто вредоносная программа, но это нежелательное программное обеспечение, которое крадет ваши данные довольно плохо ». Apple и Adware Doctor не возвратили несколько запросов от WIRED для комментариев.

Когда пользователь загружает Adware Doctor, он запрашивает разрешение на доступ к папке MacOS «Главная». Поскольку это отличное приложение из магазина Mac App, люди, вероятно, предоставляют это разрешение, полагаясь на надежность. Но Уордл обнаружил, что, как только приложение получит это разрешение, оно быстро начинает собирать пользовательские данные таким образом, чтобы это нарушало их конфиденциальность и правила Apple.

Приложения Mac застыли друг от друга и из операционной системы в контейнерах, называемых «песочницами», которые не позволяют программам получать доступ к большему, чем они должны функционировать. Но Adware Doctor использует разрешения, предоставленные им для сбора данных, а затем находит способы обойти защиту изолированной среды. В частности, Уордл говорит, что программа пытается использовать другую тактику для получения информации о другом программном обеспечении, запущенном на компьютере пользователя.

«Это приложение ужасно, оно просто нагло нарушает так много принципов Apple App Store».

ПАТРИК УОРДЛ, БЕЗОПАСНОСТЬ DIGITA

Некоторые программы, такие как надежные антивирусные сканеры, используют эту возможность безопасно и законно, но приложения App Store не должны иметь доступ к ней из своих песочниц. И хотя у macOS уже есть встроенная защита для поражения некоторых попыток Adware Doctor, приложение может в конечном итоге собрать список запущенных программ и процессов через интерфейс прикладного программирования. Что еще хуже, Уордл говорит, что код, который Adware Doctor использует для составления списка запущенных процессов, который злоумышленник может использовать для получения информации о деятельности и сети цели, взят из примеров, которые Apple публикует как часть своих материалов для документации.

«Это приложение ужасно, оно просто нагло нарушает так много принципов Apple App Store», — говорит Уордл. «И отзывы просто светятся, что обычно является признаком того, что они поддельные . Apple источает это высокомерие:« Эй, мы все это выяснили, вы можете нам доверять ». Но в реальности есть это действительно теневое, действительно популярное приложение, и они ничего не сделали ».

Adware Doctor также, похоже, задвинул границы в течение многих лет. Рид говорит, что Malwarebytes первоначально начал отслеживать его в 2015 году, когда его звали Adware Medic, который также был назван законным сканером, разработанным Ридом. Malwarebytes уведомили Apple, и компания удалила приложение, но Рид говорит, что он снова появился в App Store в течение нескольких дней как Adware Doctor.

Malwarebytes продолжал отслеживать приложение на протяжении многих лет и считал его подозрительным, потому что функциональность приложения была ограничена — ее защита основана на общих предложениях с открытым исходным кодом, а не на эффективных инструментах с индивидуальным подходом. Но новые данные Privacy of 1st показывают, что приложение, возможно, недавно добавило расширенные подозрительные функции с помощью обновления. «Это немного помогло, но это было новое поведение, которого мы не наблюдали раньше», — говорит Рид.

«К сожалению, App Store действительно не является безопасным убежищем, которое Apple хотела бы, чтобы люди думали, что это так».

ТОМАС РИД, MALWAREBYTES

Adware Doctor также проводит общую стратегию позиционирования в качестве продукта безопасности, чтобы казаться более надежным и получить более глубокие системные разрешения, которые приходят с инструментом сканирования. Однако Apple не разрешает большинство законных антивирусных сканеров в App Store, потому что они требуют слишком большого доступа к системе и не могут соответствовать более жестким требованиям Sandware к App Store. И это, вероятно, смущает пользователей, которые, естественно, могут предположить, что App Store — лучшее место для загрузки инструментов безопасности.

Уордл и Рид говорят, что они поддерживают общую концепцию и миссию Mac App Store, и они ценят усилия Apple по проверке приложений. Но они оба отмечают, что Apple не может проверять обновления приложений так же тщательно, как и первоначальные заявки на приложения, и они отмечают, что Apple может улучшить App Store просто, быстрее реагируя на проблемы исследователей.

На данный момент, Уордл говорит, что, поскольку Privacy 1st обнародовал свои данные в Adware Doctor на прошлой неделе, приложение переместилось на сервер, который не пользовался данными пользователя в автономном режиме. Но приложение по-прежнему пытается отправить его, и разработчик приложения может легко вернуть сервер обратно в сеть, если проверка исчезнет.

Уордл отмечает, что отсутствие реагирования Apple особенно плохо выглядит в этой ситуации, поскольку Adware Doctor является самым продаваемым приложением в App Store, и Apple получает сокращение от прибыли каждого приложения. «Я не предполагаю, что Apple злонамерен, вероятно, просто они этого не замечают». — говорит Уордл. «Но это приложение, по-видимому, заставляет Apple кучу денег. Если они вытащили приложение, а затем вернули деньги клиентов, которые помогут проиллюстрировать их приверженность безопасности в App Store».

Несмотря на то, что вредоносные приложения не являются беспрецедентными в App Store, это необычно для такого широкозагруженного приложения, которое находится под пристальным вниманием. И это важное напоминание о том, что при загрузке нового программного обеспечения всегда существует определенный риск.

Эта история была обновлена, чтобы отразить, что Apple удалила Adware Doctor через несколько часов после публикации этой истории.


view more articles

About Article Author