Tiện ích hàng đầu trên Mac App Store ăn cắp dữ liệu gửi về Trung Quốc

Adware Doctor là phần mềm trả phí đứng số một trong danh mục Tiện ích ở gian ứng dụng Mac App Store vừa bị phát hiện có hoạt động bất minh.

Tiện ích hàng đầu trên Mac App Store ăn cắp dữ liệu gửi về Trung Quốc

Theo 9to5mac, Adware Doctor lén lút truy cập vào lịch sử duyệt web trên máy tính của người dùng sau đó gửi dữ liệu về một máy chủ được đặt ở Trung Quốc. Chuyên gia bảo mật Patrick Wardle cho biết ông đã gửi thông báo tới Apple hồi tháng trước nhưng chương trình này vẫn xuất hiện trên gian ứng dụng dành cho nền tảng macOS hồi đầu tháng này.

Trên Mac App Store, Adware Doctor là ứng dụng trả phí bán chạy nhất danh mục Tiện ích và đứng thứ 4 toàn kho, xếp sau Final Cut Pro, Magnet và Logic Pro X. Để sở hữu chương trình này, người dùng phải bỏ ra 4,99 USD và có rất nhiều đánh giá tích cực 5 sao cho phần mềm.

Lập trình viên của ứng dụng quảng cáo rằng Adware Doctor có khả năng ngăn chặn nguy cơ máy Mac bị ứng dụng khả nghi và độc hại xâm nhập.

Chuyên gia Wardle đã “đào sâu” vào mã lập trình của ứng dụng và phát hiện ra vấn đề. Cụ thể, chương trình này tạo ra một tập tin có tên history.zip được mã hoá bảo vệ, sau đó tải dữ liệu này về một máy chủ được đặt tại Trung Quốc. Theo Wardle, mật khẩu được mã hoá cứng và ông có thể mở file zip này để kiểm nghiệm các nội dung bên trong.

Kết quả, tập tin chứa lịch sử truy cập của các trình duyệt web như Chrome, Firefox và tất nhiên có cả Safari, phần mềm mặc định trên macOS.

  Apple loại bỏ các ứng dụng VPN khỏi kho App Store Trung Quốc

Chuyên gia bảo mật này cho rằng đáng lẽ quá trình cô lập ứng dụng phải ngăn các phần mềm cho Mac lấy được quyền truy cập dữ liệu thuộc về chương trình khác. Tuy nhiên, Adware Doctor yêu cầu quyền truy cập đa năng ngay từ lần chạy đầu tiên, cho phép hệ thống quét phần mềm khả nghi. Nhờ động thái này mà Adware Doctor không có vẻ gì đáng ngờ.

Đặc biệt, ứng dụng độc hại này còn lợi dụng chính mã lập trình của Apple để tự “nguỵ trang” cho mình, vượt qua cơ chế bảo mật tách biệt chương trình đang chạy (cơ chế sandbox)

Khi thông tin bị phát giác xuất hiện, máy chủ thu thập dữ liệu gửi về đã tạm tắt, có thể nhằm tránh gây thêm sự chú ý nhưng hoàn toàn có thể tái khởi động bất kỳ lúc nào.

Mới đây, Apple đã chính thức gỡ phần mềm này trên gian ứng dụng App Store dành cho Macbook và người dùng cũng nên xoá khỏi máy nếu lỡ cài đặt trước đó. Ngoài ra, ở phiên bản macOS Mojave cơ chế sandbox cũng được cải thiện nên dù người dùng có cấp quyền truy cập đa năng cho một ứng dụng bất kỳ, chương trình này vẫn không thể lấy được thông tin nhạy cảm như lịch sử trình duyệt Safari hay cookie vào web.

Theo 9to5mac