Из App Store для macOS удалено приложение Adware Doctor, занимавшее первое место среди платных продуктов для безопасности. Как оказалось, решение Adware Doctor собирало конфиденциальную информацию о своих пользователях (например, историю браузеров), а затем передавало эти данные в Китай.

Adware Doctor стоило 4,99 доллара и рекламировалось как «лучшее приложение», защищающее от малвари и рекламного ПО.  Как видно на скриншоте ниже, приложение имело отличный рейтинг и множество отзывов (вероятно, фальшивых).

Подозрительное поведение популярного продукта первым заметил ИБ-специалист, известный в Twitter под именем Privacy 1st. Он обнаружил, что Adware Doctor обходит песочницу и «протоколирует» историю браузеров Chrome, Safari и Firefox, составляет списки активных на машине процессов, а также запоминает историю поиска в App Store. Все собранные данные приложение сохраняет в защищенном паролем архиве history.zip. Позже этот архив тайно от пользователя передается на некий удаленный сервер.

В качестве иллюстрации к проблеме, Privacy_1st опубликовал видео, в котором наглядно демонстрирует, что происходит после запуска антивирусного решения.

Своими находками исследователь поделился с другим известным ИБ-специалистом, Патриком Вордлом (Patrick Wardle). В итоге Вордл опубликовал в блоге детальный анализ программы. Как оказалось, информация, собранная Adware Doctor, передавалась удаленному хосту adscan.yelabapp.com. И хотя сам сервер расположен в облаке Amazon AWS, записи DNS явно свидетельствуют о том, что управлялся он из Китая.

Кем и в каких именно целях использовались данные пользователей, установить не удалось, но выяснилось, что Adware Doctor уже давно вызывает беспокойство экспертов. Так, еще в 2015 году исследователи Malwarebytes обращали внимание, что подозрительное приложение Adware Medic пытается замаскироваться под одноименной успешный продукт, впоследствии ставший Malwarebytes для Mac. Тогда специалистам удалось добиться удаления продукта-подражателя из App Store, но вскоре он появился вновь, но уже под именем Adware Doctor.

При этом эксперты Malwarebytes отмечают, что воровством пользовательских данных занимаются и другие защитные продукты: Open Any Files: RAR Support, Dr. Antivirus и Dr. Cleaner. И хотя специалисты предупреждали инженеров Apple о небезопасности Open Any Files еще в декабре 2017 года, никаких мер в его отношении не было принято до сих пор.

Лишь после того как Патрик Вордл опубликовал  детальный анализ поведения приложения, и историю заметили профильные СМИ, инженеры Apple наконец удалили Adware Doctor из App Store, а серверы, с которыми тайно общалось приложение, ушли в оффлайн.

В блоге Вордл критикует Apple за нерасторопность и задается вопросом, каким образом подобные приложения вообще попадают в App Store, если компания тщательно проверяет каждый продукт.

«Также Apple заявляет, что “если с приложением возникает проблема, Apple может быстро удалить его из каталога”. Видимо, ключевым словом здесь является “может”», — пишет Вордл.

Теги: CSS, Adware Apple приложение Doctor историю