[午前8時54分(太平洋標準時)更新: AppleはAdware DoctorをMac App Storeから削除しました。詳細は下記をご覧ください。 ]
Mac App Store でナンバーワンの有料ユーティリティである Adware Doctor は、ユーザーのブラウザ履歴を密かに記録し、それを中国のサーバーに送信している。
セキュリティ研究者のパトリック・ウォードル氏は、この件について1か月前にAppleに通知したと述べているが、マルウェアアプリは今もMac App Storeで入手可能なままとなっている…
Threatpost は、アプリに関するすべてが正当なものであるように見えると指摘しています。
このアプリは現在、AppleのMac App Storeで、Final Cut Pro、Magnet、Logic Pro Xに次ぐ、同社の「有料」ソフトウェアプログラムの中で4番目に高い評価を得ています。また、同ストアの有料ユーティリティの中でも1位です。このアプリは現在4.99ドルで、Appleの有効な署名を受けており、Mac App Storeへの掲載には、(おそらく偽物の)非常に肯定的な5つ星レビューが多数寄せられています。Adware Doctorは、このアプリが「マルウェアや悪意のあるファイルによるMacへの感染を防ぐ」と宣伝しています。
このアプリは当初、Malwarebytesが所有するアプリ「Adware Medic」(後にMalwarebytes for Macに改名)を装っていたため、AppleはApp Storeから削除しました。しかし、「Adware Doctor」に改名されたことで、AppleはApp Storeへの再掲載を許可しました。
ウォードル氏は、Privacy 1st から警告を受けた後、アプリが何をしているのかを詳しく調べました。
ウォードル氏は、このアプリがパスワードで保護された「history.zip」というアーカイブを作成することを発見しました。そして、このファイルを中国にあると思われるサーバーにアップロードします。ウォードル氏はパスワードがハードコードされており、zipファイルを開いて内容を確認することができたことを発見しました。すると、そこにはChrome、Firefox、そしてもちろんSafariの閲覧履歴が含まれていました。
ウォードル氏は、サンドボックス化によってMacアプリが他のアプリのデータにアクセスするのを防ぐことができるはずだが、Adware Doctorは初回起動時にユニバーサルアクセスを要求すると指摘する。これはマルウェアスキャンを可能にするものなので、疑わしいとは思われない。しかし、同アプリは実行中のプロセスにもアクセスできることが判明した。これはサンドボックス化によって阻止されるはずのものだ。
皮肉なことに、このアプリは Apple 独自のコードを使用することでこの保護を回避していることがわかった。
これは(おそらく)AppleのGetBSDProcessListコード(テクニカルQ&A QA1123「Mac OS Xで全プロセスリストを取得する」に記載)をコピー&ペーストしただけのものでしょう。どうやら、これがアプリケーションサンドボックス内からプロセスリストを取得する方法のようです!この方法は非推奨だと思います(サンドボックス分離の設計目標に明らかに反するため)。そして、Adware Doctorがサンドボックスを回避するために使用するコードは、Appleから直接提供されたもので、実に面白いです!
このアプリは、ダウンロードしたアプリとそのソースも記録します。
本稿執筆時点では、データを収集しているサーバーは、現在注目を集めているためかオフラインになっていますが、簡単に再アクティブ化できる可能性があります。
ウォードル氏は、自分の発見をアップルに警告してから1か月経った今でも、なぜアップルはマルウェアをMac App Storeに残したままにしているのかが最大の懸念だと語る。
追記:Appleの見解としては、このアプリはサンドボックス化を無効化するものではない、と理解しています。サンドボックス化の目的は、ユーザーがアプリの権限を制御できるようにするためであり、許可を与えたのはユーザー自身だからです。とはいえ、macOS Mojaveではサンドボックス化の保護が強化されているため、ユーザーが完全なアクセスを許可した場合でも、Safariの履歴やCookieなどの機密情報は保護されます。
Apple のニュースをもっと知りたい場合は、YouTube の 9to5Mac をご覧ください。
havebin.com を Google ニュース フィードに追加します。
FTC: 収益を生み出す自動アフィリエイトリンクを使用しています。詳細はこちら。
