WhiteHat News #ID:2018
WhiteHat Support
-
20/03/2017
-
129
-
443 bài viết
Công cụ loại bỏ Adware số 1 trên Apple store có hành vi gián điệp trên máy tính Mac
Một ứng dụng hàng đầu trong kho ứng dụng của Apple Mac được thiết kế để bảo vệ người dùng khỏi các nguy cơ phần mềm quảng cáo và phần mềm độc hại đã lén lút đánh cắp lịch sử duyệt web mà không xin phép và gửi về máy chủ tại Trung Quốc.
Điều đáng lo ngại hơn là Apple dù được cảnh báo từ tháng trước nhưng đã không có bất kỳ hành động nào đối với ứng dụng này.
Ứng dụng nằm trong nghi vấn là “Adware Doctor”, tiện ích tính phí số 1 trên kho ứng dụng Mac, đồng thời đứng thứ 4 trong danh sách được trả phí nhiều nhất trên kho ứng dụng này với giá 4,99 USD (khoảng 120.000 VNĐ), được xem là “ứng dụng tốt nhất” để ngăn chặn các file độc hại lây nhiễm máy tính Mac”.
Tuy nhiên nhà nghiên cứu an ninh có tài khoản Twitter @privacyis1st đã đăng tải một video POC, cho thấy ứng dụng Adware Doctor có hành vi giống như spyware và chỉ ra cách lịch sử duyệt web của người dùng đã được trích xuất như thế nào.
Adware Doctor gửi dữ liệu đánh cắp về máy chủ tại Trung Quốc
Nhà nghiên cứu an ninh này sau khi điều tra về Adware Doctor cùng với cựu nhân viên của NSA Patrick Wardle cho biết ứng dụng này đã thoát được kỹ thuật sandbox của Apple và lén thu thập lịch sử duyệt web của người dùng, sau đó gửi về máy chủ tại Trung Quốc – hành vi này đã vi phạm các nguyên tắc của Apple.
Theo nhà nghiên cứu Wardle, Adware Doctor thu thập dữ liệu nhạy cảm của người dùng, chủ yếu là các website người dùng truy cập và tìm kiếm từ tất cả trình duyệt web phổ biến như Chrome, Firefox, Safari và sau đó gửi dữ liệu về máy chủ ở Trung Quốc tại http://yelabapp.com, địa chỉ do những người tạo ra app này quản lý.
Để thực hiện hành vi này, Adware Doctor đã qua mặt được giới hạn sandbox của kho ứng dụng Apple Mac để có thể truy cập, sao chép và tải file của người dùng từ máy tính Mac mà ứng dụng được cài đặt.
Adware Doctor tiền thân có tên là “Adware Medic” được thiết kế bắt chước theo một ứng dụng khác là AdwareMedic sau đó đã được MalwareBytes thu mua lại và đổi tên vào năm 2015.
Ứng dụng này đã bị gỡ bỏ cách đây hai năm sau khi MalwareBytes bị phàn nàn và xuất hiện trở lại với tên Adware Doctor, trở thành một trong các tiện ích được trả tiền nhiều nhất trên Mac Store nhờ những đánh giá ảo.
Apple phớt lờ cảnh báo của về ứng dụng này trong một tháng
Dù đã được báo cáo về hành vi gián điệp của tiện ích này cách đây một tháng nhưng Apple đã không có động thái nào.
Tuy nhiên, sau khi bài đăng của nhà nghiên cứu Wardle được đưa lên một số phương tiện truyền thông, Apple cuối cùng cũng phải gỡ bở Adware Doctor khỏi kho ứng dụng Mac của mình cùng với nhà phát triển ứng dụng khác là “AdBlock Master”.
Tương tự, máy chủ thu thập dữ liệu người dùng Adware Doctor đặt tại Trung Quốc hiện cũng ở tình trạng ngoại tuyến có thể là do sự quan tâm của giới truyền thông.
Người dùng từng tải ứng Adware Doctor được khuyến cáo là nên xóa ứng dụng này trên các hệ thống của mình càng sớm càng tốt.
Điều đáng lo ngại hơn là Apple dù được cảnh báo từ tháng trước nhưng đã không có bất kỳ hành động nào đối với ứng dụng này.
Ứng dụng nằm trong nghi vấn là “Adware Doctor”, tiện ích tính phí số 1 trên kho ứng dụng Mac, đồng thời đứng thứ 4 trong danh sách được trả phí nhiều nhất trên kho ứng dụng này với giá 4,99 USD (khoảng 120.000 VNĐ), được xem là “ứng dụng tốt nhất” để ngăn chặn các file độc hại lây nhiễm máy tính Mac”.
Tuy nhiên nhà nghiên cứu an ninh có tài khoản Twitter @privacyis1st đã đăng tải một video POC, cho thấy ứng dụng Adware Doctor có hành vi giống như spyware và chỉ ra cách lịch sử duyệt web của người dùng đã được trích xuất như thế nào.
Adware Doctor gửi dữ liệu đánh cắp về máy chủ tại Trung Quốc
Nhà nghiên cứu an ninh này sau khi điều tra về Adware Doctor cùng với cựu nhân viên của NSA Patrick Wardle cho biết ứng dụng này đã thoát được kỹ thuật sandbox của Apple và lén thu thập lịch sử duyệt web của người dùng, sau đó gửi về máy chủ tại Trung Quốc – hành vi này đã vi phạm các nguyên tắc của Apple.
Theo nhà nghiên cứu Wardle, Adware Doctor thu thập dữ liệu nhạy cảm của người dùng, chủ yếu là các website người dùng truy cập và tìm kiếm từ tất cả trình duyệt web phổ biến như Chrome, Firefox, Safari và sau đó gửi dữ liệu về máy chủ ở Trung Quốc tại http://yelabapp.com, địa chỉ do những người tạo ra app này quản lý.
Để thực hiện hành vi này, Adware Doctor đã qua mặt được giới hạn sandbox của kho ứng dụng Apple Mac để có thể truy cập, sao chép và tải file của người dùng từ máy tính Mac mà ứng dụng được cài đặt.
Adware Doctor tiền thân có tên là “Adware Medic” được thiết kế bắt chước theo một ứng dụng khác là AdwareMedic sau đó đã được MalwareBytes thu mua lại và đổi tên vào năm 2015.
Ứng dụng này đã bị gỡ bỏ cách đây hai năm sau khi MalwareBytes bị phàn nàn và xuất hiện trở lại với tên Adware Doctor, trở thành một trong các tiện ích được trả tiền nhiều nhất trên Mac Store nhờ những đánh giá ảo.
Apple phớt lờ cảnh báo của về ứng dụng này trong một tháng
Dù đã được báo cáo về hành vi gián điệp của tiện ích này cách đây một tháng nhưng Apple đã không có động thái nào.
Tuy nhiên, sau khi bài đăng của nhà nghiên cứu Wardle được đưa lên một số phương tiện truyền thông, Apple cuối cùng cũng phải gỡ bở Adware Doctor khỏi kho ứng dụng Mac của mình cùng với nhà phát triển ứng dụng khác là “AdBlock Master”.
Tương tự, máy chủ thu thập dữ liệu người dùng Adware Doctor đặt tại Trung Quốc hiện cũng ở tình trạng ngoại tuyến có thể là do sự quan tâm của giới truyền thông.
Người dùng từng tải ứng Adware Doctor được khuyến cáo là nên xóa ứng dụng này trên các hệ thống của mình càng sớm càng tốt.
Theo The Hacker News
Chỉnh sửa lần cuối: