苹果公司的Mac App Store是一个非常受欢迎的应用程序,旨在保护其用户免受广告软件和恶意软件威胁,具有讽刺意味的是,恶意软件在Mac未同意的情况下秘密窃取他们的浏览历史,并将其发送到中国的服务器。
即使苹果在一个月前被警告,该公司也没有对该应用程序采取任何行动。
有问题的应用程序是“广告软件博士”,Mac App Store排名第一的付费实用程序,也是该商店第四大最受欢迎的付费应用程序,售价4.99美元,并将自己定位为“防止”的“最佳应用程序”恶意软件和恶意文件感染您的Mac。“
然而,一个拥有安全研究员几乎在一个月前检测到Adware Doctor的可疑间谍软件行为,并且还上传了关于如何泄露用户浏览器历史记录的概念验证视频演示。
研究人员向苹果公司介绍了Adware Doctor在此期间的可疑活动,但该应用程序来自名为“Yongming Zhang”的开发人员,仍在Mac App Store中提供。
广告软件医生将窃取的用户数据发送到中国服务器
研究员随后调查了Adware Doctor与前NSA员工Patrick Wardle,他深入了解该应用程序,称应用程序逃避Apple的沙箱并隐蔽地收集用户的浏览器历史记录,然后将其转移到中国的服务器 – 这是对Apple开发者指南的公然违反。
根据Wardle的说法,Adware Doctor收集敏感用户的数据 – 主要是您访问或搜索过的所有网站 – 来自所有流行的网络浏览器,包括Chrome,Firefox和Safari,然后将这些数据发送到中文服务器
http:// yelabapp.com/由应用程序制造商运营。
为此,Adware Doctor绕过Apple Mac App Store沙箱限制,以便能够从安装的Mac计算机访问,复制和上载用户文件。
“现在,反恶意软件或反广告软件工具将需要合法访问用户的文件和目录 – 例如,扫描它们以查找恶意代码,但是,一旦用户点击允许,因为Adware Doctor请求了用户主目录的权限,它就可以对所有用户的文件进行全权访问。所以是的,它将能够检测和清理广告软件,但也可以收集和泄露任何用户文件,它选择!“
根据Wardle概述的技术流程,Adware Doctor逃脱Apple的应用程序沙箱并调用与流行的Web浏览器相关的流程,包括Safari,Chrome和Firefox,然后将历史数据压缩为ZIP存档,然后通过以下方式将其上传到服务器调用sendPostRequestWithSuffix方法进行exfiltration。
更重要的是?Adware Doctor最初被命名为“Adware Medic”,其设计明显是为了模仿MalwareBytes在2015年获得并重新命名的不同AdwareMedic应用程序。
两年前MalwareBytes抱怨后,应用程序被从商店中删除,然后它再次出现在Adware Doctor下,并成为Mac Store最高收入的实用程序 – 感谢虚假评论。
Apple忽略了研究人员1个月的报告
由于该应用程序未经用户同意收集用户数据而违反了众多应用程序商店规则和指南,并且绕过Apple的沙盒保护措施,因此几周前Wardle就此问题与Apple联系,但公司对此没有采取任何措施。
然而,在Wardle的博客文章被几家媒体采访后,Apple终于从Mac App Store中删除了Adware Doctor,以及开发者的其他应用程序“AdBlock Master”。
此外,从Adware Doctor用户收集数据的中文服务器目前处于脱机状态,可能是因为该应用已收到媒体关注。
已经下载了Adware Doctor的用户强烈建议您尽快从他们的系统中删除该应用。