雷锋网按,一直以来“安全无毒”都是 Mac 生态的一大卖点,但现在这里可是越来越不安全了。最近,Mac App Store 上排名第一的付费工具应用 Adware Doctor 就被抓包了,它居然偷偷记录起了用户的浏览器历史,而且还将这些私密数据发到了一台位于中国的服务器上。
安全研究专家 Patrick Wardle 表示,自己在一个月前向苹果通报了这一问题,但这件事在苹果那里却没了下文。
Threatpost 指出,这款应用看起来可是相当清白,而且它还是 Mac App Store 上的明星付费应用,位列 Final Cut Pro、Magnet 和 Logic Pro X 之后。
在应用商店中,Adware Doctor 卖4.99 美元,它不但经过了苹果的审核,评分还高达 4.8 分。在应用描述中,开发商表示 Adware Doctor 能“防御恶意软件和文件感染你的 Mac。”
Wardle 专门对这款应用做了深入挖掘,他发现这款应用会新建一个名为 history.zip 的密码保护存档,随后应用会将该文档上传到一台位于中国的服务器。对一些文档进行查阅后他发现这里面居然有 Chrome、火狐等浏览器的历史记录。当然,苹果自家的 Safari 也跑不了。
Wardle 强调,虽然 macOS 中的沙盒能防止应用接入属于其他应用的数据,但 Adware Doctor 首次运行时会要求通用存取权限,这样即使它在后台搞恶意扫描,也不会显出可疑迹象。同时 Wardle 还发现,该应用能接入正在运行的进程,而沙盒在这时也应该起作用。
但讽刺的是,这块应用居然用苹果的代码绕过了苹果的保护机制。他表示:“说实话,这段代码完全是从苹果的 GetBSDProcessList 代码中复制粘贴的,显然它们很清楚这是苹果沙盒的弱点,而这样的操作方法肯定是未经批准的(因为它会与苹果沙盒隔离机制相抵触)。”
除此之外,这款应用还会记录你下载的应用及其来源。
截至发稿前,这台位于中国的神秘服务器已经下线,苹果也将 Adware Doctor 踢出了 Mac App Store。
在 Wardle 看来,有恶意应用不可怕,可怕的是苹果在收到提醒后一个月居然都无动于衷,Mac App Store 也不是百分之百安全了。
Adware Doctor 并非个例
不过,苹果 Mac App Store 的麻烦还没完,一些“行为不端”的应用又陆续被挖了出来。这些应用会用花言巧语(病毒扫描或是清理缓存)劝说用户交出根目录的访问权,但事实上它们的根本目的还是采集用户数据,浏览器历史更是这些坏应用的最爱。采集完数据后,它们还会将其上传到自己的分析服务器。
第二波下架应用中,最引人注目的是一家名为“趋势科技有限公司”的开发商(可能是家李鬼公司),它们出品的多款应用都存在类似问题。其实此前就有用户在 Malwarebytes 论坛反映了这一问题,研究人员进行调查后发现,这些应用与 Adware Doctor 手法类似,它们会搜集并将用户浏览器历史上传到自家服务器。至于建文档和采集其他应用的数据,它们也没落下,就连欺骗用户获取相关权限时用的说辞都差不多。
虽然不收费,但这些应用也是 Mac App Store 最受欢迎的应用,可见苹果商店的隐私安全问题已经相当严重。
下一步,苹果可得收紧 Mac App Store 的审核了,否则再强大的沙盒恐怕也挡不住坏心眼,现在是浏览器历史被偷,未来恐怕用户的 iMessage 聊天记录、email 也会被染指。
Mac 用户下次下载应用时也得长个心眼了,苹果并不等同于绝对安全。如果有应用要你的根目录访问权,赶紧拒绝。(公众号:雷锋网(公众号:雷锋网))
雷锋网Via. 9to5mac
