App Store付费排行榜第一的杀毒软件竟暗藏间谍功能

原文地址：https://www.hackeye.net/threatintelligence/16118.aspx

近日，苹果官方应用商店App Store一款非常受欢迎的应用被发现在未经用户许可的情况下，偷偷窃取了用户的浏览历史记录，并将数据发送到了一个位于中国的服务器。具有讽刺意味的是，这款被曝暗藏间谍功能的应用本身被描述为一款杀毒软件，旨在保护其用户免受广告软件和恶意软件的威胁。

更值得我们关注的是什么呢？即使在一个月前苹果旧已经收到了安全通报，但该公司也没有对这款应用采取任何行动。

这款应用名为“Adware Doctor”，在热门畅销榜单中排名第四位，而在付费排行榜中排名第一，售价4.99美元，并将自己描述为“防止恶意软件和恶意文件感染你的Mac电脑的最佳应用”。

然而，一个名推特ID为“Privacy 1st”的安全研究人员在一个月前发现了Adware Doctor可疑的间谍行为，并上传了一个概念验证（PoC）视频，用于演示用户的浏览器历史是如何被窃取的。

在此期间，该研究人员也向苹果公司通报了Adware Doctor的可疑活动，但这款开发者署名为“Yongming Zhang”的应用程序仍在App Store上被提供。

Adware Doctor将窃取的数据发送到了中国服务器

在Privacy 1st公布了自己的发现之后，前美国国家安全局（NSA）职员Patrick Wardle随后也借助开源实用软件ProcInfo对Adware Doctor进行了更深入的分析。Wardle在上周五（9月7日）发表的一篇博文中指出，Adware Doctor的确设法绕过了苹果的沙箱保护措施并隐蔽地收集用户的浏览器历史记录，然后将数据转移到了一台位于中国的服务器，这是对苹果开发者指南的公然违反。

根据Wardle的说法，Adware Doctor所收集的敏感数据主要是用户访问或搜索过的所有网站——来自所有流行的网络浏览器，包括Chrome、Firefox和Safari。然后，将这些数据发送到位于中国的服务器http[:]//yelabapp.com。

为了实现这一点，Adware Doctor需要绕过App Store的沙箱保护措施，以便能够访问、复制和转移用户文件。

“对于反恶意软件或反广告软件工具而言，它们需要合法访问用户的文件和目录，以便能够对文件进行扫描，以查找恶意代码。”Wardle解释说，“Adware Doctor也一样，它会请求访问用户主目录的权限。一旦用户点击允许，它便可以对所有用户文件进行全权访问。如此一来，它便能够检测和清理广告软件，但同时也能够收集和泄露任何用户文件，而它确实这样做了。”

苹果忽视了研究人员的报告长达一个月之久

由于这款应用违反了众多应用商店的规则和指南——未经用户许可就收集用户数据，并绕过了苹果的沙箱保护措施，因此Wardle在几周前就此事联系了苹果公司，但该公司并没有采取任何行动。

直到Wardle的博文被多家媒体转载之后，苹果公司才最终将Adware Doctor从App Store移除。同时，也移除了由同一名开发者所开发的另一款应用“AdBlock Master”。

此外，在上述中提到的中国服务器（接收由Adware Doctor发送的数据）目前也已经处于离线状态，这很可能是因为该应用目前受到了媒体的关注。

无论如何，出于对自己隐私的负责，我们强烈建议已经下载并安装了Adware Doctor的用户能够尽快将该应用从系统中删除。