• 發布單位:TWCERT/CC
• 更新日期:2019-03-25
• 點閱次數:298

Apple的Mac App Store中一個非常受歡迎的知名app，旨在保護其用戶免受廣告軟體和惡意軟體威脅，卻在未經使用者同意的情況下秘密竊取使用者瀏覽紀錄，並將其發送到中國的伺服器。

該app名為「Adware Doctor」，Mac App Store排名第一的付費app，也是該商店第四大最受歡迎的付費app，售價4.99美元，並定位為防止惡意軟體和惡意檔案感染您的Mac的最佳app。

然而，Twitter帳號為@privacyis1st的資安研究人員在近一個月前檢測到Adware Doctor的可疑間諜軟體行為，並且上傳關於如何洩露用戶瀏覽器歷史記錄的概念驗證影片演示。

研究人員向蘋果公司展示Adware Doctor在此期間的可疑活動，然而即使Apple在一個月前接獲警告，但並沒有立即對該app採取任何行動。該app來自名為“Yongming Zhang”的開發人員，一直仍在Mac App Store中活躍。

研究員隨後與前NSA員工Patrick Wardle調​​查了Adware Doctor，深入了解該app後在部落格文章表示app迴避Apple的沙箱並隱蔽地收集用戶的瀏覽器歷史記錄，然後將其轉移到中國的伺服器，公然違反Apple的開發者指南。

根據Wardle的說法，Adware Doctor透過流行的網路瀏覽器，包括Chrome、Firefox和Safari收集用戶的敏感資料，主要是用戶存取或搜索過的所有網站，然後將這些資料發送到由app製造商運營的中國伺服器http：// yelabapp[.]com/。

Wardle表示，一般而言，反惡意軟體或反廣告軟體工具需要合法存取用戶的檔案和目錄 - 例如，掃描它們以查找惡意代碼，但是一旦用戶點擊允許Adware Doctor用戶主目錄權限的請求，就可以對所有用戶的檔案進行全權存取。所以除了檢測和清理廣告軟體，也同時收集和洩露任何用戶檔案。

根據Wardle的貼文，Adware Doctor逃脫Apple的app沙箱並調用與流行的Web瀏覽器相關的行程，包括Safari、Chrome和Firefox，然後將紀錄資料壓縮為ZIP存檔，透過調用sendPostRequestWithSuffix方法進行滲透將其上傳到伺服器。

而Malwarebytes的Mac和行動安全總監Thomas Reed，他的公司正在監控自2015年以來該開發商的活動。Thomas Reed指出，Adware Doctor最初被命名為「Adware Medic」，其設計明顯是為了模仿MalwareBytes在2015年的「AdwareMedic」app，

兩年前在App Store上發現了一款一樣名為Adware Medic的app，而真正的同名app則被刪除，MalwareBytes檢測到這一點，並聯繫Apple，該app被從商店中刪除，但很快被一個名為Adware Doctor的相同應用程序取代，並成為Mac Store最高收入的實用app。

由於該app未經用戶同意收集用戶資料而違反了眾多app商店規則和指南，並且繞過Apple的沙盒保護措施，因此幾週前Wardle就此問題與Apple聯繫，一開始沒有見到有採取任何措施。

後續在Wardle的部落格文章被幾家媒體採訪後，Apple終於從Mac App Store中刪除了Adware Doctor，以及開發者的其他app“AdBlock Master”。

此外，從Adware Doctor用戶收集資料的中文伺服器目前處於離線狀態，可能是因為該app已收到媒體關注，已經下載了Adware Doctor的用戶強烈建議盡快從系統中刪除該app。

參考連結：

https://thehackernews.com/2018/09/mac-adware-removal-tool.html
https://securityaffairs.co/wordpress/76011/hacking/apple-removes-adware-doctor.html
https://twitter.com/privacyis1st/status/1031428304543395840
https://objective-see.com/blog/blog_0x37.html
https://blog.malwarebytes.com/threat-analysis/2018/09/mac-app-store-apps-are-stealing-user-data/