欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

被指向中国服务器提供数据,Mac App Store下架排名第一的付费安软

来源:本站整理 作者:佚名 时间:2018-09-11 TAG: 我要投稿
    "/bin/bash",
    "-c",
    "zip -r --quiet -P webtool \"/Users/user/Library/Containers/com.yelab.Browser-Sweeper/Data/Library/Application Support/com.yelab.Browser-Sweeper/history.zip\" \"/Users/user/Library/Containers/com.yelab.Browser-Sweeper/Data/Library/Application Support/com.yelab.Browser-Sweeper/history\" > /dev/null"
)
使用网络代理监视器(Charles Proxy)捕获Adware Doctor到adscan.yelabapp.com的连接尝试:

通过编辑系统的/etc/hosts文件,将此请求重定向到研究人员控制的服务器,捕获到Adware Doctor尝试上传history.zip文件:
# python https.py
listening for for HTTPS requests on port:443
192.168.86.76 - - [20/Aug/2018 10:53:24] "POST /1/checkadware HTTP/1.1" 200 -
Headers:
Host: adscan.yelabapp.com
Content-Type: multipart/form-data; boundary=Boundary-E2AE6908-4FC6-4C1D-911A-0B34F844C510
Connection: keep-alive
Accept: */*
User-Agent: Adware%20Doctor/1026 CFNetwork/902.1 Darwin/17.7.0 (x86_64)
Content-Length: 15810
Accept-Language: en-us
Accept-Encoding: br, gzip, deflate
Path: /1/checkadware
Attachment: 'history.zip' (length: 15810)
待上传的“history.zip”文件受密码保护:

回看进程监视器的输出,密码被发送到内建的zip实用程序:zip -r –quiet -P webtool …。
密码也被编码到应用程序的二进制文件中,因此反编译二进制文件即可获得密码。
输入webtool作为密码解压文件:

查看解压出来的内容,Adware Doctor在暗地里收集用户的浏览器历史记录:
$ cat com.yelab.Browser-Sweeper/Data/Library/Application\ Support/com.yelab.Browser-Sweeper/history/chromeHistory
Person 1:
https://www.google.com/search?q=if+i+punch+myself+in+the+face+and+it+hurts+does+that+make+me+weak+or+strong 2018-08-20 21:19:57
https://www.google.com/search?q=does+your+stomach+think+all+potatoes+are+mashed  2018-08-20 21:19:36
$ cat com.yelab.Browser-Sweeper/Data/Library/Application\ Support/com.yelab.Browser-Sweeper/history/safariHistory
https://www.google.com/search?client=safari&rls=en&q=What+are+the+best+investment+opportunities+in+Nigeria1397-06-02 08:29:41
https://www.google.com/search?client=safari&rls=en&q=Where+do+lost+socks+go+when+they+go+missing 1397-06-02 08:29:20
深入分析
看到这里,有三个问题需要解答:
它如何绕过Mac App Store的沙盒机制来访问用户的文件?
它如何收集用户的浏览器历史记录?
它还收集了哪些系统信息和个人身份信息(PII)?
从安全和隐私的角度来看,从官方Mac App Store安装应用程序的主要优势有两点:
程序经过苹果官方审查和签发;
程序在沙盒中运行。
当应用程序在沙箱中运行时,可以访问的文件或用户信息非常有限,应该不能访问用户的浏览器历史记录,但这里Adware Doctor做到了。
通过工具(WhatsYourSign)查看该应用程序的权限,包含:com.apple.security.files.user-selected.read-write:

这项权限意味着应用程序可以请求某些文件的权限,并且得到明确的用户批准后,对文件进行读/写操作。Adware Doctor在第一次运行时,会请求访问用户的主目录以及下面的所有文件和目录:

这是通过[MainWindowController showFileAccess]方法实现的:
/ * @class MainWindowController * /
- (void)showFileAccess {
    r15 = self;
    var_30 = [[AppSandboxFileAccess fileAccess] retain];
    r13 = [[AppSandboxFileAccess fileAccess] retain];
    rbx = [[BSUtil realHomeDirectory] retain];
    r14 = [r13 hasAccessPremisionPath:rbx];
    ...
在AppSandboxFileAccess类的帮助下:

在调试器(lldb)中,观察用户主目录的访问尝试:
Adware Doctor -[AppSandboxFileAccess hasAccessPremisionPath:]:
->  0x10000cebf 0>: pushq  %rbp
    0x10000cec0 1>: movq   %rsp, %rbp
    0x10000cec3 4>: pushq  %r15

上一页  [1] [2] [3] [4] [5] [6] [7]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载