Adware Doctor retirado de la Mac Apple Store por mandar el historial de búsqueda de los usuarios a China

Se ha encontrado que una aplicación en el Mac App Store filtra el historial de navegación de un usuario a un servidor chino sin el permiso del usuario.

Esto incumple todas la premisa de la App Store como una forma más segura de instalar aplicaciones, así como la postura de Apple sobre la privacidad y la seguridad.

Se descubrió que la aplicación de utilidad más popular de Mac App Store, Adware Doctor, capturaba el historial de navegación de un usuario y lo filtra a un servidor chino.

El comportamiento fue descubierto por primera vez por twitter usuario @privacyis1st quien luego se puso en contacto con Patrick Wardle, un ex-hacker de la NSA y actual director de investigaciones de la startup Digita Security.

Posteriormente, Wardle hizo una profunda investigación exhaustiva para descubrir exactamente cómo funciona.

Según Wardle, la aplicación primero pide acceso universal para poder funcionar. Eso puede sonar espeluznante por sí mismo, pero la mayoría de los escáneres de malware/virus necesitan acceso para escanear su sistema. Sin embargo, Adware Doctor pudo acceder a los procesos en ejecución (normalmente protegidos por sandboxing) mediante el uso del propio código de Apple:

"Es (probablemente) solo copiar y pegar del código GetBSDProcessList de Apple (que se encuentra en Technical Q&A Q1123" Obtención de la lista de todos los procesos en Mac OS X").

Aparentemente así es como se puede obtener un listado del proceso desde el sandbox de la aplicación. Supongo que este método no está aprobado (ya que claramente va en contra de los objetivos de diseño del aislamiento de sandbox). Y sí, bastante divertido el código que Adware Doctor usa para saltarse el sandbox de Apple

La aplicación crea un archivo llamado 'history.zip' y lo carga a un servidor basado en China. Al desempaquetar el archivo zip, se muestra el historial de navegación de todos los navegadores instalados, incluido Safari. Además, la aplicación también captura datos de todas las aplicaciones que descargaste.

A pesar de ser una aplicación "popular", Adware Doctor tiene un pasado bastante accidentado. Por ejemplo, violó descaradamente las reglas de la App Store al intentar elevar los privilegios en 2016 mediante el uso de AppleScript. También le pillaron usando el nombre "Adware Medic" que ya estaba siendo utilizado por una aplicación existente en ese momento. Apple lo sacó de la App Store para Mac solo para restablecerla una vez que se cambió el nombre por el de Adware Doctor actual.

Además, Wardle señala que muchas de las buenas críticas probablemente sean falsas en un esfuerzo por atraer a más usuarios.

Lo que es más alarmante es que*, a pesar de que se le notificó acerca de esto hace un mes, Apple aún se negó a tomar una decisión sobre una aplicación que claramente viola la privacidad. Apple promueve abiertamente las tiendas de aplicaciones Mac e iOS como la forma más segura de instalar aplicaciones específicamente para evitar aplicaciones peligrosas como Adware Doctor. Presumiblemente, cada aplicación se revisa antes de que se permita en la tienda y, cuando hay problemas, Apple suele eliminarla rápidamente.

Si bien la aplicación en sí todavía está disponible, el servidor en sí está caído (probablemente debido a esta revelación).