Ứng dụng Adware Doctor của Apple chứa phần mềm gián điệp

September 12, 2018

Một ứng dụng hàng đầu rất phổ biến trong Mac App Store của Apple được thiết kế để bảo vệ người dùng khỏi phần mềm quảng cáo và các mối đe dọa phần mềm độc hại, nhưng ngược lại phần mềm này đánh cắp lịch sử duyệt web của họ mà không có sự đồng ý của họ và gửi nó đến máy chủ ở Trung Quốc.

Ứng dụng được đề cập là “Adware Doctor”, ứng dụng Mac App Store số 1 trả tiền và cũng được xếp hạng là ứng dụng trả tiền phổ biến thứ tư trên cửa hàng, với giá 4,99 đô và là “ứng dụng tốt nhất” để ngăn chặn ” phần mềm độc hại và các tệp độc hại lây nhiễm vào máy Mac của bạn “.

Tuy nhiên, một nhà nghiên cứu bảo mật với tên @ privacyis1st Twitter xử lý phát hiện hành vi gián điệp đáng ngờ của Adware Doctor gần một tháng trước và cũng đã tải lên một minh chứng video khái niệm về cách thức lịch sử trình duyệt của người dùng được exfiltrated.

Nhà nghiên cứu đã thông báo cho Apple về hoạt động đáng ngờ của Adware Doctor trong thời gian đó, nhưng ứng dụng từ một nhà phát triển tên là “Yongming Zhang” vẫn có mặt trên Mac App Store.

Adware Doctor gửi dữ liệu người dùng bị đánh cắp tới máy chủ Trung Quốc

m

Các nhà nghiên cứu sau đó điều tra Adware Doctor với cựu NSA nhân viên Patrick Wardle, người có lĩnh vực chuyên sâu về các ứng dụng và hôm nay đã công bố một bài viết trên blog , nói rằng ứng dụng sidesteps sandbox của Apple và bí mật thu thập lịch sử trình duyệt của người sử dụng và sau đó chuyển nó đến một máy chủ ở Trung Quốc —Những vi phạm trắng trợn của các nguyên tắc dành cho nhà phát triển của Apple.

Theo Wardle, Adware Doctor thu thập dữ liệu của người dùng nhạy cảm — chủ yếu là bất kỳ trang web nào bạn đã truy cập hoặc tìm kiếm — từ tất cả các trình duyệt web phổ biến bao gồm Chrome, Firefox và Safari, sau đó gửi dữ liệu đó tới máy chủ Trung Quốc tại http: // yelabapp.com/ do các nhà sản xuất ứng dụng điều hành.

Để làm điều này, Adware Doctor bỏ qua giới hạn của Apple Mac App Store để có thể truy cập, sao chép và tải lên tệp người dùng từ máy tính Mac được cài đặt trên đó.

“Bây giờ, một công cụ chống phần mềm độc hại hoặc chống phần mềm quảng cáo sẽ cần truy cập hợp pháp vào các tệp và thư mục của người dùng — ví dụn hư để quét mã độc hại”, Wardle giải thích.

“Tuy nhiên, khi người dùng đã nhấp vào Cho phép thì phần mềm yêu cầu cấp quyền đối với thư mục chính của người dùng, nó sẽ có quyền truy cập vào tất cả các tệp của người dùng.”

Theo quy trình kỹ thuật được phác thảo trong bài viết của Wardle, Adware Doctor bỏ qua hộp cát – sandboxing ứng dụng của Apple và gọi các quy trình được liên kết với các trình duyệt web phổ biến bao gồm Safari, Chrome và Firefox, sau đó nén dữ liệu lịch sử vào lưu trữ ZIP, sau đó được tải lên máy chủ qua gọi phương thức sendPostRequestWithSuffix để exfiltration.

Nguồn: thehackernews.com