苹果公司删除威胁风险APP,其窃取数据发送至中国

苹果公司今天从Mac App Store删除了一款非常受欢迎应用程序Adware Doctor,这款软件旨在保护其用户免受广告软件和恶意软件威胁,然而极为讽刺的是,这款软件却在未经用户许可的情况下收集了浏览历史记录和其他敏感信息,然后将其上传到中国的某个服务器。

Adware Doctor曾宣称能够保护用户的Mac免受恶意文件和浏览器的攻击。该程序还曾是Mac App Store中排名第一的付费应用程序,具有4.8星评级和超过7,000条评论。

苹果公司删除威胁风险APP,其窃取数据发送至中国

虽然它能够删除Mac上的感染,但它也会在没有用户许可的情况下悄悄地将用户的个人数据上传到远程站点。

这种行为最初是由名为Privacy 1st的安全研究人员发现的,他注意到Adware Doctor将从Chrome,Safari和Firefox浏览器收集用户的浏览历史记录、正在运行的进程列表以及App Store中的搜索历史记录。

然后将窃取的信息存储在名为history.zip的受密码保护(密码是web tool)的zip文件中。在创建这个zip文件后,它将被上载到远程服务器。

为了说明这种行为,Privacy 1st创建了一个视频,说明了程序执行时会发生什么:

苹果公司删除威胁风险APP,其窃取数据发送至中国

存储所窃取信息的history.zip的受密码保护的zip文件

苹果公司删除威胁风险APP,其窃取数据发送至中国

历史记录等被窃取的信息

在发现该程序正在执行数据泄露或秘密上传数据到远程服务器的行为后,研究人员联系了Objective-see公司的Patrick Wardle与他合作分析该程序。

在随后发布的博客文章中,Patrick证实了Private 1st的调查结果,并详细分析了该程序如何秘密收集用户的浏览习惯和应用程序详细信息,然后将其上传到远程主机。

苹果公司删除威胁风险APP,其窃取数据发送至中国

Adware Doctor执行的收集信息的命令

数据上传到中国的服务器

当Adware Doctor上传用户的数据时,它会将history.zip文件发送到名为adscan.yelabapp.com的远程主机。虽然此域名托管在亚马逊AWS服务器上,但其DNS记录清楚地表明它由来自中国的某人管理。

苹果公司删除威胁风险APP,其窃取数据发送至中国

yelabapp.com的DNS记录

目前还不知道搜集用户的浏览习惯和搜索历史是出于什么目的,但显然该程序是在没有用户许可的情况下收集这些信息并将其发送到另一个国家的未知组织的。

Adware Doctor曾有不光彩的“案底”

事实证明,Adware Doctor有着可疑的历史,而Malwarebytes for Mac的开发人员Thomas Reed自2015年以来也一直关注这个程序。

“这个应用程序的开发者是我们Malwarebytes自2015年以来一直关注的应用程序,”Reed在Malwarebytes博客文章中说。“当时,我们在App Store上发现了一个名为Adware Medic的应用程序——这是对我自己开发的同名应用程序的直接剽窃。我们立即开始检测到这一点,并联系了Apple删除应用程序。它最终被删除,但很快被一个名为Adware Doctor的相同应用程序取代。”

苹果公司处理速度太慢

虽然苹果公司在将恶意应用程序排除在他们的商店之外确实做得很好,但是这次该应用程序的相关处理却显得太过缓慢。研究人员已经在一个多月前联系苹果公司关于这个应用程序的恶意行为,但是公司对此没有采取任何措施。

最终,在Patrick的博客文章被几家媒体采访后,苹果公司才终于从Mac App Store中删除了Adware Doctor,以及开发者的另一个应用程序“AdBlock Master”。

原创文章,作者:M0tto1n,如若转载,请注明出处:http://www.mottoin.com/news/113199.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code