Mac App Store的应用程序正在窃取用户数据

最近Mac App Store出现了一个令人担忧的趋势。几位安全研究人员独立发现了不同的应用程序，它们正在收集敏感用户数据，并将其上传到由开发者控制的服务器上。(这被称为漏出数据)。其中一些数据实际上是被发送到中国的服务器上的，中国的服务器可能不像美国或欧盟的机构那样，在个人身份信息的存储和保护方面受到同样严格的要求。

广告软件的医生

帕特里克·沃德尔最近发表了一篇文章，详细介绍了一款名为Adware Doctor的应用的不当行为，正在进行以下数据的外泄:

• Safari历史
• Chrome的历史
• 火狐历史
• 所有正在运行的进程的列表
• 您已经下载的软件的列表和从哪里

其中大部分数据是App Store应用程序不应该访问的，更不用说窃取了。在运行进程列表的情况下，应用程序必须绕过苹果设置的阻止此类应用访问数据的屏蔽。开发人员发现了一个漏洞，让他们可以不顾苹果的限制访问这些数据。

这款应用的开发者是我们Malwarebytes自2015年以来一直关注的对象。必威平台APP那时，我们在app Store上发现了一款名为Adware medical的应用，这款应用直接抄袭了我自己的同名成功应用必威平台APP伪的Mac．我们立即发现了这个问题，并联系苹果移除该应用。最终，该应用被移除，但不久之后又被一款名为Adware Doctor的相同应用所取代。

我们一直在与这款应用以及同一家开发商开发的其他应用进行斗争，现在这款应用已经被下架了几次，但由于苹果的审查过程不断失败，它总是在不久之后被新版本所取代。

打开任何文件:RAR支持

这个应用程序在去年年底出现在我们的雷达上。我们已经看到了许多不同的欺诈应用程序，像这样，它们劫持了系统处理用户没有合适的应用程序打开的文档的功能，作为广告其他产品的手段……最常见的是欺诈。典型的行为是，当用户打开一个不熟悉的文件时，这个应用程序（以及其他类似的应用程序）会打开并升级一些文件杀毒扫描文件或电脑的软件，通常告诉用户他们可能无法打开文件，因为他们被感染了。

有趣的是，这个软件被设计用来推广一种主流的防病毒产品。这似乎是对该产品的一个附属计划的滥用。

事实证明，这个应用程序的行为与Adware Doctor的当前行为非常相似。它正在上传一个名为file.zip的文件到以下URL:

update.appletuner.trendmicro.com/1/upload/search_keywords/

该文件包含以下数据:

• 完成Safari浏览和搜索历史记录
• 完整的Chrome浏览器浏览和搜索历史
• 完成Firefox浏览和搜索历史记录
• 完整的应用商店浏览历史记录

我们于2017年12月向苹果报告了该应用程序。它仍然存在于应用商店中。

在调查过程中，我们发现Open Any Files在App Store上推广Dr. Antivirus很奇怪。这让我们开始调查Dr. Antivirus以及其他一些应用程序。

(最近，Open Any Files停止了对这些数据的窃取，但我们保留了我们观察到的证据。)

博士杀毒

通过调查，我们了解到，由于app Store的限制，这款应用和大多数Mac app Store应用一样，一开始的检测能力有限。然而，即使是在用户文件夹中，App Store中的大多数杀毒应用都没有很好的检测率，这也不例外。

然而，更糟糕的是，我们观察到与在Open Any Files中看到的相同的数据外流模式!我们看到，同样的数据也被收集起来，并被上传到名为file.zip的文件中，与Open Any Files使用的URL相同。

不过，这个文件还有一个有趣的好处。除了浏览历史，它还包含一个有趣的名为app.plist的文件，其中包含了系统中每个应用程序的详细信息。(见下面文件的一小段摘录，只显示了抗病毒博士列出的信息。)

可以认为，杀毒软件收集某些有限的浏览历史记录，从而检测和拦截恶意软件/网页是有用的。但要想让他们整个所有已安装浏览器的浏览历史，无论用户是否遇到恶意软件。此外，在应用程序中没有任何信息来通知用户关于这个数据收集，也没有办法选择退出这个数据收集。

博士更清洁

不幸的是，同一开发者的其他应用程序也在收集这些数据。我们观察到Dr. Cleaner也收集了同样的数据，只是去掉了已安装的应用程序列表。一个“清洁”应用真的没有好的理由去收集这类用户数据，即使用户被告知，但事实并非如此。

有趣的是，我们发现drcleaner[dot]com网站被用来推广这些应用。WHOIS记录显示，域名的注册所有者是一位居住在中国、拥有foxmail.com电子邮件地址的个人。

这一切意味着什么?

很明显，Mac App Store并不是苹果所希望的那种信誉良好的软件避风港。这句话我已经说了好几年了，因为我们检测App Store中的垃圾软件的时间几乎和我在Malwarebytes工作的时间一样长。必威平台APP这不是什么新信息，但这些问题揭示了大多数人没有意识到的问题的深度。

多年来，我们一直通过各种渠道向苹果报告这类软件，但很少有立竿见影的效果。在某些情况下，我们看到违规应用被迅速删除，尽管有时同样的应用很快又回来了(就像Adware Doctor)。在其他情况下，被报道的应用程序需要长达6个月的时间才能下架。

在很多情况下，我们报告的应用程序仍然在商店里。以上都是例子。

我强烈建议你像对待其他下载地点一样对待App Store:它具有潜在的危险。小心你下载的东西。app Store中的免费应用可能看起来完全无害，但如果你必须让应用访问你的任何数据，作为其预期功能的一部分，你就无法知道它将如何使用这些数据。更糟糕的是，即使你不给它访问权限，它也可能会找到漏洞，访问敏感数据。

如果你下载了其中一个应用程序，现在后悔了，你可以向苹果报告:

https://reportaproblem.apple.com

特别感谢

感谢那些在过去的一年里花了他们的业余时间寻找和拨弄这些应用程序的人们:PeterNopSled(来自Malwarebytes论坛)，必威平台APP@privacyis1st,帕特里克·瓦尔德．