欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

被指向中国服务器提供数据,Mac App Store下架排名第一的付费安软

来源:本站整理 作者:佚名 时间:2018-09-11 TAG: 我要投稿

近日有外媒报道,Mac App Store中付费安全软件中排名第一的Adware Doctor被研究人员发现在未经用户同意的情况下收集浏览历史,并将数据发送至位于中国的服务器,之后被Mac App Store下架。
在被下架之前,Adware Doctor是一款广受用户欢迎的安全应用,旨在保护用户的浏览器免受广告软件和恶意软件威胁。国外研究人员解构了此次发生的下架事件的前因后果。
Adware Doctor
在Adware Doctor的宣传中,它是Mac用户抵御各种常见广告软件威胁的“最佳应用”:

在Mac App Store中,这款应用程序非常受欢迎,在最畅销的应用程序中排名第四,因此连苹果Mac App Store网站都列出了它的信息:

在“付费实用工具”分类中,Adware Doctor排名第一:

事件解构
研究人员使用静态分析(反编译)和动态分析(网络监控、文件监控和调试)的方法对这款应用程序进行了研究,以下是过程和结果。
首先,研究人员从Mac App Store下载 Adware Doctor,确认该应用程序(与Mac App Store中的所有应用程序一样)由苹果正常签发:

启动应用程序,观察到它通过HTTPS发出各种网络请求。例如,连接到adwareres.securemacos.com通过GET请求/AdwareDoctor/master.1.5.5.js:

如图所示,下载的master.1.5.5.js文件包含基本JSON配置数据:
{
“disable_rate”:false,
  “disable_prescan”:false,
“sk_on”:false,
“faq_link”:“http://www.adwaredoctor.com/adware-doctor-faq/”
}
单击应用程序界面中的“Clean”按钮会触发另一个到adwareres.securemacos.com的网络请求,这次下载的是名为config1.5.0.js的第二个文件:

这次下载的config1.5.0.js文件包含更多JSON,最值得注意的是这款软件的数据库的链接:
{
    “update”:true,
    “version”:“201808243”,
    “url”:“https://adwareres.securemacos.com/patten/file201808243.db”
}
然后是一个看起来很正常的数据库更新过程:

研究人员查看了数据库的内容,是加密的(符合反广告软件/反恶意软件的做法):

使用调试器捕获应用程序在内存中解密的文件,然后转储纯文本内容:
(lldb)
binaryContentMatchPatten = ({
   md5 = (
       48a96e1c00be257debc9c9c58fafaffe,
       f1a19b8929ec88a81a6bdce6d5ee66e6,
       3e653285b290c12d40982e6bb65928c1,
       801e59290d99ecb39fd218227674646e,
       8d0cd4565256a781f73aa1e68e2a63de,
       e233edd82b3dffd41fc9623519ea281b,
       1db830f93667d9c38dc943595dcc2d85,
       ...
browserHomePagePatten = (
{
   name = "Chrome homepage: safefinder";
   patten = "Chrome.*feed\\.snowbitt\\.com.*publisher=tingnew";
},
       {
   name = "Chrome homepage: safefinder";
   patten = "Chrome.*feed\\.snowbitt\\.com.*publisher=TingSyn";
},
       {
   name = "Chrome homepage: safefinder";
   patten = "Chrome.*searchword.*/90/";
},
...
filePathPatten = (
"/Applications/WebShoppers",
  "/Applications/WebShoppy",
  "/Applications/SoftwareUpdater",
  "/Applications/webshoppers",
  "~/Library/Application Support/WebTools",

[1] [2] [3] [4] [5] [6] [7]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载