Популярнейшее приложение на Mac работает как шпионское ПО
Приложение для проверки безопасности Adware Doctor в настоящее время занимает четвертое место в списке популярных приложений для Mac App Store. Но после появления видеоролика Privacy 1st с доказательством подозрительной работы программы, исследователи безопасности Mac Патрик Уордл из Digita Security и Томас Рид из Malwarebytes проанализировали ее, пишет Wired.
Исследователи обнаружили, что Adware Doctor собирает данные о своих пользователях, в частности историю просмотров и список других программ и процессов, запущенных на компьютере, сохраняет данные в заблокированном файле и периодически отправляет их на сервер, который, по-видимому, находится в Китае. Все эти действия нарушают правила App Store, но даже после уведомления Privacy 1st Apple о проблемах, приложение все еще находится в App Store.
"К сожалению, App Store действительно не является безопасным. Мы обнаруживаем и отслеживаем несколько различных подозрительных приложений в App Store. Некоторые из них удаляют быстро, а другие – по полгода. Это не просто вредоносная программа, а программное обеспечение, которое крадет ваши данные", - заявил Рид.
Когда пользователь загружает Adware Doctor, приложение запрашивает разрешение на доступ к папке MacOS "Home". Уордл обнаружил, что, как только Adware Doctor получит это разрешение, оно начинает собирать пользовательские данные, нарушая конфиденциальность и правила Apple.
Приложения Mac изолированы друг от друга и от операционной системы в контейнерах, так называемых "sandboxes", которые не позволяют программам получать доступ к другим. Adware Doctor использует разрешения, предоставленные ему для сбора данных, а затем находит способы обойти защиту изолированной среды. Так, программа пытается получить информацию о программном обеспечении, запущенном на компьютере пользователя.
Некоторые программы, например, антивирусы, используют эту возможность безопасно и законно, но приложения из App Store не должны иметь такой доступ. И хотя у macOS уже есть встроенная защита, Adware Doctor может собрать список запущенных программ и процессов через интерфейс прикладного программирования. Код, используемый Adware Doctor для составления списка запущенных процессов, взят из примеров, которые Apple публикует как часть своей документации.
В Malwarebytes начали отслеживать Adware Doctor в 2015 году, когда приложение называлось Adware Medic. Malwarebytes уведомили Apple, и компания удалила приложение, но затем оно снова появилось в App Store в течение нескольких дней как Adware Doctor.
Malwarebytes продолжали отслеживать приложение на протяжении многих лет, считая его подозрительным, поскольку его функциональность была ограничена - защита основана на открытом исходном коде. Но новые данные Privacy of 1st показывают, что приложение, возможно, недавно добавило расширенные подозрительные функции через обновление.
Adware Doctor позиционирует себя как продукт безопасности, чтобы казаться более надежным и получить системные разрешения. Однако Apple не разрешает публикацию большинства законных антивирусов в App Store, так как они требуют доступ к системе и могут не соответствовать более жестким требованиям.
После публикации видео Privacy 1st на прошлой неделе приложение переместили на сервер, который получал данные пользователя в автономном режиме. Однако Adware Doctor по-прежнему пытается отправить информацию.
"То, как Apple реагирует в этой ситуации – довольно плохо, поскольку Adware Doctor является самым продаваемым приложением в App Store, а Apple получает прибыль от каждой программы", - прокомментировал Уордл.
Несмотря на то, что публикация вредоносных приложений не является беспрецедентной в App Store, это необычно для такой программы, которую постоянно отслеживают. И это важное напоминание о том, что при загрузке нового программного обеспечения всегда существует определенный риск.