Havebin

Ipad

Mac App Storeアプリがブラウザ履歴を盗みアップロードしていることが判明c

Havebin
qlamk
0 Comments
Mac App Storeアプリがブラウザ履歴を盗みアップロードしていることが判明c
Mac App Storeアプリがブラウザ履歴を盗みアップロードしていることが判明c

[ 9/10 午前4時50分(太平洋標準時)更新:  drcleaner.comドメインに発行された証明書はTrend Micro, Inc.として登録されています。また、データがアップロードされているドメインはtrendmicro.comのサブドメインであるため、アプリは実際にはTrend Micro, Inc.によって配布されていることになります。 ]

[ 9/9 午後 7:46 PT 更新: この記事で説明されているアプリは Mac App Store から削除されました。 ]

macOSでアプリにホームディレクトリへのアクセスを許可する際は、たとえMac App Storeから入手したアプリであっても、慎重に検討する必要があります。ウイルススキャンやキャッシュの削除といった謳い文句でユーザーにホームディレクトリへのアクセスを許可させようとするMac App Storeアプリが流行しているようですが、その真の目的はユーザーデータ、特に閲覧履歴を収集し、分析サーバーにアップロードすることです。

本日は、「Trend Micro, Inc.」を名乗る開発者が配布しているアプリ、つまりDr. Unarchiver、Dr. Cleanerなどについて具体的に取り上げます。この問題は以前、Malwarebytesフォーラムのユーザーから報告され、別のレポートでも報告されています。その後、他の研究者が調査した結果、この「Trend Micro, Inc.」アカウントがMac App Storeで配布しているアプリが、Safari、Google Chrome、Firefoxのユーザーの閲覧履歴を収集し、自社のサーバーにアップロードしていることが分かりました。このアプリは、システムにインストールされている他のアプリの情報も収集します。これらの情報はすべてアプリの起動時に収集され、zipファイルが作成されて開発者のサーバーにアップロードされます。

これらの報告は、少なくともDr. Unarchiverアプリでは確認できました。アプリでzipファイルを解凍すると、「ジャンクファイルをクイッククリーン」オプションが表示されました。「スキャン」を選択すると、ホームディレクトリが選択された状態で開くダイアログが開きます。これは、アプリがユーザーのホームディレクトリにアクセスし、ブラウザの履歴ファイルを収集するために必要な情報です。ホームディレクトリへのアクセスを許可した後、アプリは個人データを収集し、サーバーにアップロードしました(プロキシでブロックしました)。スクリーンショットは下にスクロールしてください。

アプリがアーカイブしてサーバーにアップロードするファイルを調査したところ、Safari、Google Chrome、Firefox の完全なブラウザ履歴、同じブラウザでのユーザーの最近の Google 検索を保存するための個別のファイル、およびシステムにインストールされているすべてのアプリの完全なリストを含むファイル (ダウンロード元、64 ビット対応かどうか、コード署名などの情報を含む) が見つかりました。

本日現在、「Dr. Unarchiver」は米国Mac App Storeで無料アプリの人気ランキング12位にランクインしています。これは重大なプライバシー問題であり、AppleはこれらのアプリをMac App Storeから早急に削除すると予想されます。ユーザーはサンドボックス化されたアプリがシステムにこれほどアクセスすることを想定していませんが、サンドボックス化されたアプリがファイルを開くダイアログを開き、それを使ってホームディレクトリを開くと、閲覧履歴、iMessageの会話、メールメッセージなど、多くの個人情報にアクセスできる可能性があることに注意する必要があります。AppleはmacOS Mojaveでこの状況を改善していますが、App Storeの審査プロセスではこのような行為を検出し、ユーザーのプライバシーを侵害するアプリを拒否するべきでした。

ここで解説したアプリが採用している手法は、Adware Doctorの手法と非常に似ています。こうした問題から身を守りたいのであれば、たとえApp Storeから入手したアプリであっても、ホームディレクトリへのアクセスを決して許可しないでください。アプリがファイルを開くダイアログを表示し、それを使ってホームディレクトリを開いたり、ホームディレクトリをアプリにドラッグしたりすると、アクセスが許可される可能性があります。

zipファイルを解凍した後、アプリは「ジャンクファイルを消去する」ことを提案する

プロキシを使用すると、アプリが行うリクエストをキャプチャして、
ユーザーデータを含むzipファイルをアップロードすることができました。

アプリがSafariの履歴から収集したデータの小さなサンプル

havebin.com を Google ニュース フィードに追加します。 

FTC: 収益を生み出す自動アフィリエイトリンクを使用しています。詳細はこちら。

Havebin

Havebin

This author has no bio yet.

You May Also Like