Adware doktor és a biztonságos AppStore

Ellopott böngésző előzmények kapcsán újult fel ismét a MacAppStore biztonságával kapcsolatos eszmecsere. Ami természetesen a közismert és szimpatikus szigorúság mellett időnként tud azért kellemetlen meglepetésekkel szolgálni, lásd az anno érvényes Apple Developer ID-vel rendelkező Kitm trójai esetét. Most úgy tűnik, a doktorok hete köszöntött be ;-), és sajnos nem tanulnak a nagy cégek a múltból: hiába riportol az etikus hacker, csak akkor lépnek, ha már újságcikkben is írnak az incidensről.

Több poszt, írás is foglalkozik az úgynevezett Adware doktor nevű, és a hivatalos, megbízhatónak gondolt AppStore áruházból letölthető programmal, ugyanis egy szakértő még augusztus elején az adatforgalomban érdekes dologra figyelt fel: a böngésző előzményeket titokban egy Kínai távoli szerverre küldte el az alkalmazás. Erről értesítette is az Apple-t, érdemi választ nem kapott, majd Twitterre is kitette az észrevételét. A böngésző előzményeket itt nem csak a Safarira kell érteni, lehet az akár Chrome vagy Firefox is, illetve emellett az összes futó folyamat listáját, valamint a letöltött, illetve már eltávolított szoftverek nevét.

Ez utóbbi kettőre az Apple válasza, hogy szerintük ez nem problémás, a böngésző előzményes dolog viszont igen. Az eredetileg 4.99 USD-ért árusított 4.8-as értékelésű (sic!) szoftver fejlesztője egy bizonyos Yongming Zhang, ez vélhetően totál hamis név, ugyanis egy kínai kannibál sorozatgyilkos neve. A Malwarebytes szerint ők már 2015 óta felfigyeltek erre a névre, aki akkor még az Adware Medic nevű kreálmányával (vélhetően ez az elődprogram) próbálkozott.

Bár az ilyen jellegű adatok illegális gyűjtése hivatalosan nem engedélyezett, hagyományos programkód esetén ráadásul blokkolásra is kerülne, itt a trükkös fejlesztők találtak egy megkerülő megoldást, amivel az Apple korlátozás ellenére is kényelmesen hozzájutottak a begyűjtött adatokhoz.

Később a MalwareBytes is csatlakozott a friss threadhez, megosztva az alkalmazás elődjéről, az Adware Medicről való információjukat, sőt kiegészítve azzal, hogy nem csak ez az említett alkalmazás kémkedik, hanem további hasonló versenyzőket is felsoroltak a piactéri mezőnyből: Open Any Files, Dr. Antivirus és Dr. Cleaner. A biztonsági cég szerint már évek óta próbálják felhívni a figyelmet az ilyen trükköző, kártékony kémkedéssel foglalkozó, de hivatalos kínálatban szereplő trójai programokra, részleges sikerrel.

Pedig elméletileg ugye ha valaki a legszigorúbb, azaz csak a Mac AppStore-ból származó programok futását engedélyező opciót választja ki, ott ilyesmi nem történhetne. Addig is kezeljük az AppStore-t úgy, mint minden más letöltési helyet, és ide is erősen javasolt valamilyen védelmi program használata is.

Egyébként vicces módon az akkori kezdetleges Dr. Antivirus 2008-ban egyszer már csúfosan benézte az alternatív platformokat a szánalmas kis javascriptjeivel 🙂

Nos, szokás rutinszerűen csak a Google piacteret ekézni a relatív biztonság, és a kínálatba kerülő kártékony alkalmazások miatt (sokszor nem is ok nélkül), de be kell látni, hogy egyfelől “no platform is safe a Deákné vásznánál”, másrészt időnként mindenhol előfordulhatnak ilyen kockázatos esetek, ahogy például Elvis Prestley RFID chipes érvényes útlevelével is sikeresen be lehetett lépni még 2008-ban egy holland repülőtérre.

A mélységesen szomorú sokkal inkább az, hogy 49 évvel a Holdra szállás után érdemi választ, érdemi döntést, alkalmazások letiltását még mindig nem a jó szándékú bejelentett biztonsági kockázat vagy az App Store Review Guidelines egyértelmű megsértése okozza, hanem csakis a széles nyilvánosságra hozatal miatti céges pánik még 2018-ban is.

Forrás: https://antivirus.blog.hu