Adware Doctor – numer jeden w kategorii Utility i numer 4 wśród wszystkich płatnych aplikacji. Jeśli masz zainstalowaną tę aplikację – lepiej usuń ją natychmiast.

Aplikacja, której zadaniem jest zadbanie o bezpieczeństwo naszej maszyny oraz kasowanie malware’u z naszego Maca, okazała się malware’em. Jak poinformował Patric Wardle – Adware Doctor zapisuje historię przeglądania użytkownika oraz dane odnośnie uruchomionych procesów oraz innych zainstalowanych aplikacji.

Dane zapisywane są w pliku, który co jakiś czas wysyłany jest na serwer mieszczący się gdzieś w Chinach.

App Store, to miejsce, które powinno budować u użytkowników poczucie bezpieczeństwa. W końcu to tutaj zostawiamy swoje pieniądze i kupujemy/pobieramy przydatne (lub nie) aplikacje, które często mają dostęp do sporej ilości naszych danych. Aby za takie uchodzić, Apple posiada wyśrubowane normy bezpieczeństwa oraz standardy dla developerów tworzących aplikacje. Zawsze jednak znajdzie się jakaś apka, która umknie ich oku.

Jak było w tym przypadku?

adware doctor wysyła Twoje dane

Historia jest krótka, jednak ciekawa. Okazuje się, że wcześniej opisywana aplikacja nazywała się Adware Medic i była dodana do App Store przez firmę Malwarebytes. Apple ściągnęło ją z marketu. Firma zmieniła nazwę na Malwarebytes for Mac, aplikacja natomiast zaczęła nazywać się Adware Doctor. Apple dopuściło ją do sprzedaży.

Patric Wardle przyjrzał się dokładnie aplikacji. Zauważył, że tworzy ona zaszyfrowane archiwum „history.zip” zabezpieczone hasłem. Następnie wysyła je na serwer zlokalizowany w Chinach. Zauważył, że hasło jest zapisane w kodzie aplikacji. Rozpakował archiwum i sprawdził jego zawartość.

Archiwum zawierało historię z przeglądarki Chrome, Firefox oraz Safari. W Mac OS istnieje coś takiego jak Sandbox – piaskownica. Zadaniem Sandboxa jest ograniczenie działania aplikacji, aby ta nie miała nieuprawionego dostępu do innych procesów. Problem polega w tym, że podczas pierwszego uruchomienia Adware Doctor prosi o wszelkie prawa dostępu – w końcu będzie zabezpieczał naszego całego Maca. Sandbox jednak dalej powinien działać.

Okazuje się, że Adware Doctor korzysta z kodu… od Apple. Konkretnie to z odpowiedzi na jedno z pytań na forum – jak uzyskać listę wszystkich procesów – GetBSDProcessList. Wychodzi na bug w Sandboxie Mac OS.

Adware Doctor zapisuje także listę zainstalowanych aplikacji oraz ich źródło.

I to wszystko mogłoby być spoko. Można pomyśleć, że robią to dla celów statystycznych (bawię się w adwokata diabła). Po co jednak zabezpieczać hasłem i nie informować użytkownika? Tego już nie wybronię.

Co jest niespoko? Reakcja Apple. Otrzymali informacje, o tym, co robi Adware Doctor. Mimo to zdjęcie aplikacji z App Store zajęło im ponad miesiąc od czasu zgłoszenia przez Patrica.

Jeśli posiadasz Adware Doctor na swoim Macu, może powinieneś rozważyć pozbycie się go. Aplikacja nie jest już dostępna na App Store.