Discussion :

[Stan Adkens]

Une Application Mac Adware Doctor prise en train de voler les historiques de navigation des utilisateurs
Et supprimée de Mac App Store

La boutique officielle Mac App Store est certainement un lieu qui ne devrait souffrir d’aucun doute de la part des utilisateurs des produits Apple. Ils y téléchargent des applications pour leurs matériels en ne pensant qu’au bien que ces dernières leur procureront. Par ailleurs, Apple déclare : « Le Mac App Store est l'endroit le plus sûr pour télécharger des applications pour votre Mac. Apple passe en revue chaque application avant qu'elle ne soit acceptée par le magasin, et s'il y a un problème avec une application, Apple peut la supprimer rapidement. »

Cependant, Patrick Wardle, un chercheur en sécurité, a découvert qu’Adware Doctor, une application très populaire, « dérobe subrepticement votre historique de navigation ».

Adware Doctor serait pourtant la meilleure application pour supprimer une variété de menaces adware courantes ciblant les utilisateurs de Mac. « Adware Doctor supprimera les extensions, les cookies et les cashes pour restaurer votre navigateur. Les signets et l'historique ne seront pas affectés », voilà ce qui est, en substance, écrit sur l’interface utilisateur d’Adware Doctor, l’application qui figure au numéro 4 des applications les plus populaires sur le site principal d’Apple. Il est, par ailleurs, le numéro 1 des applications dans la catégorie des utilitaires payants.

Toutefois, Adware Doctor, en plus de faire son travail pour lequel il est populaire, il dérobe les données de navigation des utilisateurs sans leur consentement et au mépris d’une politique de confidentialité massive d’Apple au sujet du comportement des applications des tiers vendues dans Mac App Store. En effet, Apple déclare : « Les applications qui collectent des données utilisateur ou d'utilisation doivent obtenir le consentement de l'utilisateur pour la collection. », « Les applications doivent respecter les paramètres d'autorisation de l'utilisateur et ne pas tenter… de piéger ou forcer des personnes à consentir à un accès inutile aux données. », « Les développeurs qui utilisent leurs applications pour découvrir subrepticement ... des données privées seront supprimés du programme pour développeurs. »

En effet, les faits sur le comportement malveillant de Aware Doctor, une application du développeur chinois Yongming Zhang, ont été révélés par le chercheur @privacyis1st dans un tweet. « Dans ce tweet, il a publié un lien vers une vidéo qui semblait montrer Adware Doctor collectant et exfiltrant furtivement une variété de données utilisateur sensibles, y compris l’historique du navigateur », a déclaré Wardle. Après s’être penché sur la question, le chercheur a pu confirmer les faits du tweet.

Lorsque l’utilisateur click « ok » sur la boite de dialogue « Ready to clean now ? » dans l’interface d’Adware Doctor, ceci aurait donné un accord implicite d’accès aux données privées de l’utilisateur. Les recherches de Wardle ont montré que l’application chargée de nettoyer les navigateurs génère un fichier chiffré nommé history.zip. Une fois déchiffré, le contenu du fichier a révélé qu’Aware Doctor a collecté l'historique de navigation du chercheur.

Alors que l'un des principaux avantages de l'installation d'applications à partir du Mac App Store officiel est que ces applications s’exécutent en mode sandbox et que lorsqu'une application s'exécute dans un sandbox, elle est limitée dans son accès aux fichiers et aux informations utilisateur, Adware Doctor a eu la possibilité d’accéder et de collecter l’historique de navigation des utilisateurs dont il n’avait pas accès normalement. Wardle a découvert que l’application a obtenu le droit d’accès à ces données personnelles des utilisateurs. Ce qui montre qu’un accord implicite lui a été accordé par les utilisateurs.

Wardle a déclaré a ce sujet que « Désormais, un outil anti-malware ou anti-adware aura besoin d’une autorisation d’accès légitime aux fichiers et aux répertoires des utilisateurs, par exemple pour les scanner à la recherche de code malveillant. Cependant, une fois que l'utilisateur aura cliqué sur Autoriser, Adware Doctor ayant demandé l'autorisation d'accéder au répertoire personnel de l'utilisateur, il aura carte blanche pour accéder à tous les fichiers de l'utilisateur. Donc, oui, il sera possible de détecter et de nettoyer les logiciels publicitaires, mais aussi de collecter et d'exfiltrer n'importe quel fichier utilisateur, c'est ce qu'il choisit! »

Selon Wardle, l’accès à ces données très privées de l’utilisateur prouve un caractère très trompeur d’Adware Doctor et contourner le Mac App Sanbox semble également une violation fragrante des règles et politiques d’Apple. Par ailleurs, Adware Dortor aurait un passé douteux.

Le chercheur se pose aussi la question, « si Apple examine vraiment chaque application avant qu'elle ne soit acceptée par le magasin, comment ces violations graves (et évidentes) de cette application ont-elles été manquées ? »

La violation a été révélée par le premier chercheur le 20 août. Cependant, plus de deux semaines après la révélation, Adware Doctor était toujours dans la boutique en ligne de Apple.

Toutefois, Apple a retiré Adware Doctor de Mac App Store, selon le chercheur Patrick Wardle, dans une mise à jour sur son blog.

Source : Patrick Wardle

Et vous ?

Que pensez-vous de cette découverte?
serez-vous prêts à installer, à l’instant, une autre application classée N°1 dans Mac App Store ?

Voir aussi

Avast découvre des adwares pré-installés sur de nombreux smartphones Android d'entrée de gamme, la France figure parmi les pays les plus touchés
Faites-vous usage de CCleaner, l'appli d'optimisation des systèmes sous Windows ? Que pensez-vous de l'orientation définie par Avast ?
L'accès à l'App Store a été temporairement bloqué en Iran, empêchant les utilisateurs iOS de profiter des mises à jour ou de télécharger des apps
Apple annonce formellement le bannissement des antivirus de son App Store, dans une récente mise à jour de sa politique destinée aux développeurs
Apple vire les antivirus de son App store, les dispositifs iOS sont-ils suffisamment sécurisés?

[Stan Adkens]

Des chercheurs en sécurité ont découvert d’autres applications du Mac App Store en train de voler des données utilisateur
Et ont été supprimées

La semaine dernière, Adware Doctor, une application très populaire sur Mac App Store avait été supprimée de la boutique parce qu’elle avait été prise en train de voler les historiques de navigation des utilisateurs. La découverte avait été faite par @privacyis1st et une recherche approfondie avait été conduite par le chercheur Patrick Wardle, qui a confirmé la découverte du premier.

En plus de cette application de nettoyage de navigateur, plusieurs autres applications dans Mac App Store ont été impliquées dans le vol de données des utilisateurs, selon un rapport de Malware Bytes Labs. Dr. Antivirus, Dr. Cleaner, Dr. Unarchiver, Open Any Files sont ces quatre autres applications macOS mise en téléchargement dans la boutique officielle mac qui collectaient et envoyaient discrètement de grandes quantités de données sensibles des utilisateurs à des serveurs contrôlés par leurs développeurs. La découverte de ce comportement malveillant des applications a été faite par différents chercheurs en sécurité informatique qui se sont rendus compte que certaines des applications envoyaient les données dérobées à des serveurs chinois.

Ces applications macOS ont toutes été admises depuis longtemps dans la boutique officielle mac App Store au mépris des règles et politiques de confidentialité de la marque. La question que pourrait susciter cette nouvelle tendance inquiétante qui prévaut dernièrement dans mac App Store est de savoir si la procédure d’approbation d’Apple est effectivement mise en application par la marque. On pourrait s’inquiéter également de la garantie de la sécurité des utilisateurs du moment où des applications de tiers outrepassent les contraintes d’exécution dans le Sandbox pour accéder aux données privées des utilisateurs avec des autorisations d’accès implicites.

Mieux encore, une autre problématique que pourrait soulever cette vague d’exfiltration de données utilisateur est relative au fait que certaines de ces applications sont liées à Trend Micro Inc., société de sécurité qui jouit d’une bonne réputation, selon le tweet de @privacyis1st, l’un des chercheurs ayant découvert le vol de données par les applications.

Selon Malware Bytes Labs, ces applications malveillantes ont été utilisées pour siphonner et explorer l'historique complet de navigation pour Safari, Firefox et Google Chrome, ainsi qu'une liste complète de toutes les applications installées et téléchargées sur le Mac de l'utilisateur.

Les applications en question ont été supprimées du mac App Store après plusieurs interpellations par des chercheurs. Néanmoins, voici une synthèse de ce que dit Malware Bytes Labs du comportement des applications malveillantes.

Open Any Files détournaient les fonctionnalités du système pour prendre en compte les documents dont l’utilisateur n’a pas d’applications appropriées pour ouvrir. En réalité, l’application faisait la promotion d’un autre outil censé être un antivirus pour analyser les fichiers inconnus ouverts par l’utilisateur. Il en profitait pour télécharger un fichier nommé file.zip qui contenait l’historique complet de navigation sur les navigateurs et sur mac App Store comme Adware Doctor.

Dr. Antivirus a un mode opératoire similaire à celui d’Open Any Files. Il procède à l'exfiltration de données utilisateur comme Open Any Files. Il télécharge également un fichier file.zip qui avait un contenu similaire à celui téléchargé par Open Any Files. Cependant, Dr. Antivirust téléchargeait un second fichier qui contenait des informations détaillées sur chaque application trouvée sur le système de l’utilisateur. Toutes ces données ayant été collectées sans informer l’utilisateur.

Dr. Cleaner est une application qui était censée nettoyer le système, mais les chercheurs ont découvert qu’elle collectait les mêmes types de données utilisateur sans demande d'autorisation. Par ailleurs, les chercheurs ont découvert que le site Web de Dr. Cleaner qui fait la promotion de ces applications malveillantes serait lié à une personne vivant en Chine qui serait le propriétaire du domaine du site Web.

La situation qui prévaut actuellement dans la boutique d’Apple devrait attirer l’attention des utilisateurs des applications téléchargées sur mac App Store. « Une application gratuite de l'App Store peut sembler parfaitement innocente et inoffensive, mais si vous devez donner à cette application l'accès à l'une de vos données dans le cadre de ses fonctionnalités attendues, vous ne pouvez pas savoir comment elle utilisera ces données. Pire encore, même si vous ne lui donnez pas accès, cela peut créer une faille et accéder de toute façon à des données sensibles. », a déclaré Thomas Reed de Malware Bytes Labs.

Cependant, toutes les applications malveillantes découvertes par les chercheurs ont été supprimées de mac App Store la semaine dernière.

Source : Malware Bytes Labs

Et vous ?

Qu’en pensez-vous ?
Mac App Store serait-il devenu un lieu hostile aux utilisateurs ?

Voir aussi

L'accès à l'App Store a été temporairement bloqué en Iran, empêchant les utilisateurs iOS de profiter des mises à jour ou de télécharger des apps
Apple a décidé de supprimer des applications développées pour le public iranien de son App Store, au nom de l'embargo américain
:fleche : Apple annonce formellement le bannissement des antivirus de son App Store, dans une récente mise à jour de sa politique destinée aux développeurs
Apple vire les antivirus de son App store, les dispositifs iOS sont-ils suffisamment sécurisés ?
Un chercheur découvre une faille critique dans le système de facturation de l'App Store, qui pourrait entraîner le détournement de session