Mac App Store审核漏洞大 安全应用偷用户浏览器历史

【PConline资讯】按，一直以来“安全无毒”都是Mac生态的一大卖点，但现在这里可是越来越不安全了。最近，MacAppStore上排名第一的付费工具应用AdwareDoctor就被抓包了，它居然偷偷记录起了用户的浏览器历史，而且还将这些私密数据发到了一台位于中国的服务器上。

安全研究专家PatrickWardle表示，自己在一个月前向苹果通报了这一问题，但这件事在苹果那里却没了下文。

Threatpost指出，这款应用看起来可是相当清白，而且它还是MacAppStore上的明星付费应用，位列FinalCutPro、Magnet和LogicProX之后。

在应用商店中，AdwareDoctor卖4.99美元，它不但经过了苹果的审核，评分还高达4.8分。在应用描述中，开发商表示AdwareDoctor能“防御恶意软件和文件感染你的Mac。”

Wardle专门对这款应用做了深入挖掘，他发现这款应用会新建一个名为history.zip的密码保护存档，随后应用会将该文档上传到一台位于中国的服务器。对一些文档进行查阅后他发现这里面居然有Chrome、火狐等浏览器的历史记录。当然，苹果自家的Safari也跑不了。

Wardle强调，虽然macOS中的沙盒能防止应用接入属于其他应用的数据，但AdwareDoctor首次运行时会要求通用存取权限，这样即使它在后台搞恶意扫描，也不会显出可疑迹象。同时Wardle还发现，该应用能接入正在运行的进程，而沙盒在这时也应该起作用。

但讽刺的是，这块应用居然用苹果的代码绕过了苹果的保护机制。他表示：“说实话，这段代码完全是从苹果的GetBSDProcessList代码中复制粘贴的，显然它们很清楚这是苹果沙盒的弱点，而这样的操作方法肯定是未经批准的（因为它会与苹果沙盒隔离机制相抵触）。”

除此之外，这款应用还会记录你下载的应用及其来源。

截至发稿前，这台位于中国的神秘服务器已经下线，苹果也将AdwareDoctor踢出了MacAppStore。

在Wardle看来，有恶意应用不可怕，可怕的是苹果在收到提醒后一个月居然都无动于衷，MacAppStore也不是百分之百安全了。

AdwareDoctor并非个例

不过，苹果MacAppStore的麻烦还没完，一些“行为不端”的应用又陆续被挖了出来。这些应用会用花言巧语（病毒扫描或是清理缓存）劝说用户交出根目录的访问权，但事实上它们的根本目的还是采集用户数据，浏览器历史更是这些坏应用的最爱。采集完数据后，它们还会将其上传到自己的分析服务器。

第二波下架应用中，最引人注目的是一家名为“趋势科技有限公司”的开发商（可能是家李鬼公司），它们出品的多款应用都存在类似问题。其实此前就有用户在Malwarebytes论坛反映了这一问题，研究人员进行调查后发现，这些应用与AdwareDoctor手法类似，它们会搜集并将用户浏览器历史上传到自家服务器。至于建文档和采集其他应用的数据，它们也没落下，就连欺骗用户获取相关权限时用的说辞都差不多。

虽然不收费，但这些应用也是MacAppStore最受欢迎的应用，可见苹果商店的隐私安全问题已经相当严重。

下一步，苹果可得收紧MacAppStore的审核了，否则再强大的沙盒恐怕也挡不住坏心眼，现在是浏览器历史被偷，未来恐怕用户的iMessage聊天记录、email也会被染指。

Mac用户下次下载应用时也得长个心眼了，苹果并不等同于绝对安全。如果有应用要你的根目录访问权，赶紧拒绝。