Một trong những Ứng Dụng Mac Phổ Biến Hành Xử Như Phần Mềm Gián Điệp

Apple tự hào về việc ưu tiên bảo mật và riêng tư người dùng. Họ coi các cửa hàng ứng dụng iOS và Mac, nơi người dùng có thể tải xuống một loạt phần mềm được kiểm định và đáng tin cậy, là điểm mốc của sáng kiến đó. Nhưng trong khi phương pháp này giảm thiểu tình huống người dùng bị lừa tải xuống một cái gì đó nguy hiểm trên web, phần mềm độc hại vẫn trườn qua được. Trong trường hợp này, có vẻ như đó bao gồm một trong những ứng dụng phổ biến nhất trên Mac App Store.

Ứng dụng quét bảo mật Adware Doctor hiện đứng thứ tư trong danh sách ứng dụng trả phí hàng đầu của Mac App Store. Nhưng sau khi một nhà nghiên cứu có tên Privacy 1st phát hành một đoạn video chứng minh hành vi đáng ngờ trong ứng dụng, các nhà nghiên cứu bảo mật Mac Patrick Wardle của Digita Security và Thomas Reed của Malwarebytes đã điều tra độc lập.

Các nhà nghiên cứu phát hiện rằng Adware Doctor thu thập dữ liệu về người dùng, đặc biệt là lịch sử duyệt web và danh sách phần mềm và tiến trình khác đang chạy trên máy, lưu trữ dữ liệu đó trong một tệp khóa và định kỳ gửi nó đến một máy chủ có vẻ được đặt ở Trung Quốc. (Nói cho công bằng, họ cũng nói rằng nó không phải là một công cụ quét adware tốt.) Tất cả những hành động này dường như vi phạm hướng dẫn phát triển của App Store, nhưng trong khi Privacy 1st thông báo về mối lo ngại này cho Apple cách đây vài tuần, ứng dụng vẫn còn tồn tại.

(Cập nhật: Vài giờ sau khi câu chuyện này được đăng—và vài tuần sau khi các nhà nghiên cứu bảo mật liên hệ với họ—Apple đã gỡ Adware Doctor khỏi Mac App Store.¹)

"Thật không may là App Store thực sự không phải là nơi trú ẩn an toàn như Apple muốn mọi người nghĩ đó," Reed nói. "Chúng tôi phát hiện và theo dõi nhiều ứng dụng đáng ngờ khác nhau trong App Store. Một số trong số đó đã bị gỡ bỏ nhanh chóng, và những ứng dụng khác mất tới 6 tháng để bị gỡ bỏ. Đó không phải là phần mềm độc hại trực tiếp, nhưng những phần mềm rác này đang đánh cắp dữ liệu của bạn rất tệ." Apple và Adware Doctor không đáp lại nhiều yêu cầu từ MYTOUR để bình luận.

Khi người dùng tải xuống Adware Doctor, ứng dụng yêu cầu quyền truy cập vào thư mục "Home" của macOS. Vì nó là một ứng dụng hàng đầu từ Mac App Store, người dùng có thể cho phép quyền đó, giả định sự đáng tin cậy. Nhưng Wardle phát hiện rằng khi ứng dụng có quyền này, nó nhanh chóng bắt đầu cố gắng thu thập dữ liệu người dùng một cách vi phạm cả quyền riêng tư của họ và các quy tắc của Apple.

Các ứng dụng Mac được phân chia từ nhau và từ hệ điều hành trong các container gọi là "sandbox," giữ cho các chương trình không thể truy cập nhiều hơn những gì họ cần để hoạt động. Nhưng Adware Doctor sử dụng các quyền mà người dùng cấp cho nó để thu thập dữ liệu, sau đó tìm cách vượt qua một số bảo vệ sandbox. Đặc biệt, Wardle nói rằng chương trình này thử các chiến thuật khác nhau để có thông tin về các phần mềm khác đang chạy trên máy tính của người dùng.

Một số chương trình như các công cụ quét virus đáng tin cậy sử dụng khả năng này một cách an toàn và hợp pháp, nhưng các ứng dụng của App Store không được phép truy cập vào nó từ bên trong sandbox của chúng. Và trong khi macOS đã có những bảo vệ tích hợp để đánh bại một số cố gắng của Adware Doctor, ứng dụng cuối cùng vẫn có thể thu thập danh sách các chương trình và tiến trình đang chạy thông qua một giao diện lập trình ứng dụng hệ thống. Để làm tình hình trở nên tồi tệ hơn, Wardle nói rằng mã Adware Doctor sử dụng để xây dựng danh sách tiến trình đang chạy—mà một kẻ tấn công có thể sử dụng để có thông tin về hoạt động và mạng lưới của mục tiêu—được lấy từ các ví dụ mà Apple công bố như một phần của tài liệu hướng dẫn của họ.

"Ứng dụng này quá tồi, nó trơ tráo vi phạm quá nhiều hướng dẫn của Apple App Store," Wardle nói. "Và những đánh giá chỉ toàn sáng tạo, điều này thường là dấu hiệu của việc chúng được giả mạo. Apple tỏ ra rằng 'hey, chúng tôi đã hiểu rõ mọi thứ, bạn có thể tin tưởng chúng tôi.' Nhưng thực tế là có một ứng dụng phổ biến rất đen tối, và họ không làm gì cả."

Adware Doctor cũng đã vượt quá giới hạn trong nhiều năm. Reed cho biết Malwarebytes ban đầu bắt đầu theo dõi nó vào năm 2015, khi nó được gọi là Adware Medic, cũng là tên của một công cụ quét hợp lệ mà Reed đã phát triển. Malwarebytes thông báo cho Apple và công ty đã gỡ ứng dụng này, nhưng Reed nói rằng nó lại xuất hiện trở lại trên App Store chỉ sau vài ngày dưới tên Adware Doctor.

Malwarebytes tiếp tục theo dõi ứng dụng qua nhiều năm và phát hiện nó là đáng ngờ, vì chức năng của ứng dụng bị hạn chế—các tính năng bảo vệ dựa trên các ứng dụng mở cơ bản thay vì các công cụ tùy chỉnh hiệu quả. Nhưng các thông tin mới từ Privacy 1st cho thấy rằng ứng dụng có thể gần đây đã thêm các chức năng đáng ngờ mở rộng thông qua một bản cập nhật. "Nó đã là một ứng dụng lừa đảo từ trước, nhưng đó là hành vi mới mà chúng tôi chưa từng quan sát được trước đây," Reed nói.

Adware Doctor cũng tận dụng chiến lược phổ biến là giả mạo thành một sản phẩm bảo mật để trở nên đáng tin cậy hơn và có được quyền truy cập hệ thống sâu hơn nhờ là công cụ quét virus. Tuy nhiên, Apple không cho phép hầu hết các công cụ quét virus hợp lệ vào App Store, bởi vì chúng yêu cầu quá nhiều quyền truy cập hệ thống và không tuân thủ yêu cầu sandbox hạn chế hơn của App Store. Điều này có thể gây nhầm lẫn cho người dùng, họ có thể giả định rằng App Store là nơi tốt nhất để tải xuống các công cụ bảo mật.

Wardle và Reed đều cho biết họ ủng hộ ý tưởng và nhiệm vụ chung của Mac App Store, và họ đánh giá cao những nỗ lực của Apple trong việc kiểm tra ứng dụng. Tuy nhiên, họ cùng lưu ý rằng Apple có thể không kiểm tra các bản cập nhật ứng dụng một cách cẩn thận như họ kiểm tra việc nộp đơn ứng dụng ban đầu, và họ nhấn mạnh rằng Apple có thể cải thiện App Store bằng cách phản hồi nhanh hơn đối với những lo ngại của các nhà nghiên cứu.

Hiện tại, Wardle nói rằng kể từ khi Privacy 1st công bố các phát hiện về Adware Doctor tuần trước, ứng dụng đã ngưng kết nối với máy chủ nhận dữ liệu người dùng. Tuy nhiên, ứng dụng vẫn cố gắng gửi dữ liệu và nhà phát triển ứng dụng có thể dễ dàng đưa máy chủ trở lại hoạt động nếu sự kiểm tra giảm đi.

Wardle lưu ý rằng việc thiếu phản hồi từ Apple trong tình huống này là một vấn đề tồi tệ, khi Adware Doctor là một trong những ứng dụng bán chạy nhất trên App Store và Apple nhận được một phần doanh thu từ mọi ứng dụng. "Tôi không cho rằng Apple có ý đồ xấu, có thể chỉ là họ đã bỏ qua điều này." Wardle nói. "Nhưng ứng dụng này có lẽ đang mang về rất nhiều tiền cho Apple. Nếu họ rút ứng dụng và hoàn tiền cho khách hàng, điều đó sẽ giúp minh chứng cho cam kết với an toàn trên App Store."

Mặc dù các ứng dụng độc hại không phải là chuyện lạ trên App Store, nhưng việc một ứng dụng có số lượng tải về lớn như vậy bị kiểm tra là điều không thường xảy ra. Điều này là một lời nhắc nhở quan trọng rằng luôn tồn tại một số rủi ro khi tải xuống phần mềm mới.

¹ Câu chuyện này đã được cập nhật để phản ánh rằng Apple đã gỡ bỏ Adware Doctor vài giờ sau khi câu chuyện được xuất bản.

Những bài viết tuyệt vời khác từ MYTOUR

• Google muốn tiêu diệt URL
• Du lịch có đe dọa kính viễn vọng lớn nhất thế giới?
• Làm thế nào Searching trở thành hơn một 'bộ phim internet'
• Đừng giả vờ CEO công nghệ không thể sửa chữa tình hình này
• Gặp gỡ người có kế hoạch cải tiến đột phá cho bỏ phiếu blockchain
• Muốn tìm thêm? Đăng ký nhận bản tin hàng ngày của chúng tôi và không bao giờ bỏ lỡ những câu chuyện mới và tuyệt vời nhất của chúng tôi