AppleがMac App Storeから削除した「Adware Doctor」アプリ以外にも、Mac App Storeで公開されているTrend Micro系のセキュリティ&ユーティリティアプリがユーザーデータを収集し外部のサーバーへ送信していることが確認されたそうです。詳細は以下から。
昨日、Adware DoctorというMac App Storeで公開されているアプリが、ユーザーのブラウザ履歴などを収集し中国のサーバーへ送信していることが確認され、Appleがこのアプリをストアから削除しましたが、この問題を報告したJohn Maxxさんと米MalwarebytesのThomas Reedさんが新たにMac App Storeで公開されている複数のアプリがユーザーデータを収集し、外部サーバーへアップロードしていると報告しています。
Hey @TrendMicro Told you that you are acting shady… Check the PoC: https://t.co/TnAQiKjxHS . Both Dr. Cleaner and Dr. Antivirus are exfiltrating user data. Check video and screenshots.
First reported by @thomasareed . @patrickwardle @BleepinComputer pic.twitter.com/R8xGBRYm18— Privacy 1st (@privacyis1st) 2018年9月8日
There is a concerning trend lately in the Mac App Store. Several security researchers have independently found different apps that are collecting sensitive user data and uploading it to servers controlled by the developer. (This is referred to as exfiltrating the data.) Some of this data is actually being sent to Chinese servers, which may not be subject to the same stringent requirements around storage and protection of personally identifiable information like organizations based in the US or EU.
Mac App Store apps are stealing user data – Malwarebytes Labs
Thomasさんによると、現在確認されているMac App Store公開のユーザーデータを収集するアプリは以下の3アプリで、中にはTrend Micro社の”Dr. Antivirus”や”Dr. Cleaner”も含まれているそうです。
Open Any Files: RAR Support
Open Any Files: RAR Supportはファイルの種類はハッシュ値を表示するユーティリティアプリとしてMac App Storeで公開されているアプリで、開発者はインディーと思われるHao Wuさんですが、このアプリもAdware Doctorと同様にユーザーのブラウザ履歴やApp Storeの閲覧履歴を収集し、
Then Open Any Files should be the best solution for you. It supports most file types in Windows for Mac users’ daily needs. In order to meet some special work needs as design and commerce, Open Any Files will recommend you the best choice. What’s more, Open Any Files is a completely Free App.
Mac App Storeより
“file.zip”ファイルにまとめて以下のサーバー(trendmicro.comドメイン)にアップロードするそうで、Malwarebytesはこのアプリは2017年12月からAppleに報告しているそうですが、現在もMac App Storeで公開されているそうです。
update.appletuner.trendmicro.com/1/upload/search_keywords/
The problem is that OpenFile is sending to TrendMicro servers data about your Mac system, paths, and what exactly are you doing. There is nothing specified in any user agreement about this practice and is breaking the user privacy
Malwarebytes Forumより
Dr. Antivirus: Remove Malware
Thomasさんは次にこの”Dr. Antivirus”というアプリがユーザーデータを収集していることを発見したそうで、このアプリは”Open Any Files: RAR Support”内で宣伝されており、Trend Micro, Incorporatedが販売元となっています。
Dr. Antivirus is an app that ensures your privacy and the security of your financial information while you are using your Mac. Recent hacker attacks have led to serious disruptions in the cryptocurrency market, exposing Bitcoin to various security risks. Download Dr. Antivirus to start protecting your Mac!
Trend Micro, a recognized leader in computer security, provides your Mac with an exclusive antivirus App – Dr. Antivirus.
Mac App Storeより
このアプリも”Open Any Files: RAR Support”と同様にブラウザ履歴やApp Storeの閲覧履歴を”file.zip”ファイルにまとめて前者と同じURLへアップロードすることが確認されたそうですが、Dr. Antivirusはユーザーの履歴情報に加え、
Macのシステム上で発見された全てのアプリケーション情報を以下のような”app.plist”にまとめてブラウザ履歴などと一緒にアップロードするそうです。
Worse, however, was that we observed the same pattern of data exfiltration as seen in Open Any Files! We saw the same data being collected and also uploaded in a file named file.zip to the same URL used by Open Any Files.This file, though, contained an interesting bonus. In addition to the browsing history, it also contained an interesting file named app.plist, which contained detailed information about every application found on the system.
Mac App Store apps are stealing user data – Malwarebytes Labs
Dr. Cleaner
この”Dr. Cleaner”というアプリはMac上にあるJUNKファイルや重複ファイルの削除、メモリの開放などを行う機能があるとしてMac App Store上で公開されていますが、このアプリも上のアプリと同じようにユーザー履歴を収集しているそうで、
Best FREE Mac Cleaner in 2017 | Dr. Cleaner is all in one Mac Clean Master that offers Memory Free, Disk Clean, App Cleaner and more to clean my Mac. Fully compatible with macOS High Sierra on your Macbook.
— 4,000,000 USERS in 30 MONTHS. 110,000 RATINGS, AVERAGE RATING 4.8 —
Mac App Storeより
Appleに登録されている正式な販売元は”Dr. Antivirus”と違いTrend Micro, Inc.となっていますが、このアプリと”Dr. Antivirus”のデベロッパーWebサイトは同じ(drcleaner.com)で、WHOIS情報によると中国の個人が契約しているようで、連絡先も中国のfoxmailメールを利用しています。
Interestingly, we found that the drcleaner[dot]com website was being used to promote these apps. WHOIS records identified an individual living in China, and having a foxmail.com email address, as being the registered owner of the domain.
Mac App Store apps are stealing user data – Malwarebytes Labs
John MaxxさんはDr. Cleanerがユーザーの履歴情報を集めているPoC(証拠)を公開&Appleに報告しており、Trend Microに対して中国の個人がこの様なアプリをTrend Microの企業名を利用して公開しているのは問題だとツイートしています。
おまけ
Appleがこれらのアプリの公開を止めない理由は定かではありませんが、Trend Microはユーザーデータを収集し送信するということを明記しており(データ収集を行うアプリのリストに今回のアプリは載っていませんが…)、MalwarebytesのThomasさんは複数のチャンネルを使ってAppleにこの様なアプリの配信を止めるよう警告しているそうですが、Adware Doctorのように配信停止になってもすぐに戻ってくる場合や、
トレンドマイクロ製品の一部の機能は、お客さまの製品の利用状況や検出にかかわる情報を収集してトレンドマイクロに送信します。この情報は一定の管轄区域内および特定の条例において個人データとみなされることがあります。トレンドマイクロによるこのデータの収集を停止するには、お客さまが関連機能を無効にする必要があります。
あるケースでは配信停止になるまで6ヶ月以上かかった場合もあるため、半ばMac App Storeに安全な場所を求めるのを諦めているようで、ユーザーに対しApp Storeで配信されている無料のアプリでも、その対価としてユーザーデータへのアクセス権を求める場合は慎重に利用すべきだとコメントしています。
For several months, security researchers have been tracking a number of different Mac App Store apps that are exfiltrating very sensitive user data. 😬 @patrickwardle @privacyis1sthttps://t.co/zThfvK1EII
— Thomas Reed (@thomasareed) 2018年9月7日
Be cautious of what you download. A free app from the App Store may seem perfectly innocent and harmless, but if you have to give that app access to any of your data as part of its expected functionality, you can’t know how it will use that data. Worse, even if you don’t give it access, it may find a loophole and get access to sensitive data anyway.
Mac App Store apps are stealing user data – Malwarebytes Labs
追記
調べたところ、Trend Micro系のアプリは複数の開発者が別々のDeveloper IDを利用して各国や地域別にアプリを公開しているようで、上記すべてのアプリはリージョンが日本の場合はMac App Storeの検索にも表示されず配信もされていませんが、日本でも複数の開発者がTrend Microの名前でアプリをリリースしているようで、
2015年に日本のトレンドマイクロがプレスリリースを出してこのサイトでも紹介した「ライトクリーナー」も、2017年にアップデートされ、上記の”Dr. Cleaner”とほぼ同じ機能を有したアプリになり、無料のLite版などもリリースされていました。
確認したところ、USやEUで配信されている”Dr. Cleaner”と日本版のライトクリーナーは同じTrend Microのサーバーとコミュニケーションはとっているものの、日本版のアプリは開発者が前者と違い、ブラウザ履歴などの収集や送信はしていないようですが、使用許諾契約書にはマーケティング等にユーザーデータを収集し利用する場合があると記載されているので、利用されている方は使用許諾契約書を確認して利用することをお勧めします。
2018年09月11日 追記
Trend Micro社がこの問題を調査し、Dr.シリーズのアプリがユーザーのブラウザ履歴をTrend Microが契約するアメリカ国内のAWSサーバーに送っていたことを認め、今後この機能を削除すると発表しています。
- Mac App Store apps are stealing user data – Malwarebytes Labs
- Get rid of Open Any Files: RAR Support – Mac Malware Removal Help & Support – Malwarebytes Forums
コメント
もうティムクック首にしてくれ
チャイナってほんと、何から何までリスクしかない。いい話を聞いたことがない。
マルウェアなんてそんなに騒ぐことかねぇ
まぁ明記しないのはアレだけど、かつてのiAdだってユーザーデータ収集して売ってたろ
何にせよMacだからアンチウイルス/マルウェア不要!とかAppStoreだから安全!なんて、もともと普通の人ならそんなわけないと思ってるけどな
ストアだからマルウェア排除しろなんてそもそも無理な話
もう時代が変わったんだよおじいちゃん。
5年どころか3年ひと昔の感覚でいないと
(これだけで十分ではないけど)一番簡単な対策は、作者が中国名のものは絶対に落とさないこと。
開発者の国籍を表示してほしい。
無闇矢鱈にアプリをインストールするなってことだな。無料なのは特に。
有料だから安全、ってわけではないが、無料の方が釣れるユーザーが多いから、基本無料で出してくる。
レビューが不自然な高評価で埋め尽くされてるアプリも危ない
わかりすぎる