2018年にリリースされたmacOSのライト/ダークモードを切り替えるユーティリティ「NightOwl」がボットネット化され、Appleが開発者署名を取り消したようです。詳細は以下から。
Appleは2018年にリリースしたmacOS 10.14 Mojaveでシステムやアプリのアピアランスを暗く出来るダークモードを導入しましたが、当初ライトとダークモードの切り替えはシステム環境設定アプリの[一般]から切り替えなければならなかったため、ドイツ人デザイナーのBenjamin Kramserさんがメニューバーからライトとダークモードを切り替えられる「NightOwl」というユーティリティを開発しました。
NightOwlはメニューバーアイコンからライトとダークモードが切り替えられる他、マニュアルで時刻を決めモードを切り替えたり、位置情報を利用した日の出と日の入り時刻でモードを切り替える機能、一部のアプリだけをライト/ダークモードにする「Forced Light Mode」機能を実装したことから、
2022年11月までに18万ダウンロードされ、アクティブユーザー数(Monthly Active Users)は2万8千ユーザーとなっていたそうですが、Kramserさんは、このNightOwlに開発に時間が割けなくなったため、TPE.FYI LLCという企業にNightOwlを売却したそうです。
Nightowl got acquired by TPE.FYI LLC in November 2022
Due to time constraints, I could no longer personally continue the development of NightOwl. Therefore, in November 2022, I made the decision to sell my beloved tool to “TPE.FYI LLC”.[…]Unfortunately, “TPE.FYI LLC” has opted to monetize the app by integrating a third-party SDK. This decision is not affiliated with me in any way, and I do not endorse it in any form.Benjamin Kramserさんのサイトより
ここまではよくある話ですが、TPE.FYI LLCは購入したNightOwlにサードパーティ製SDKを導入し、NightOwlを起動するとネットワーク設定を変更、市場調査を行う目的だとして、ユーザーのネットトラフィックを共有できる状態にし、ユーザーのMacをボットネットに強制的に参加させるようにしていたそうです。
From the new TOS (slightly edited):
NightOwl app enables Users to share internet traffic by modifying their device's network settings to be used as a gateway for internet traffic [for] web and market research, SEO, brand protection, content delivery, cybersecurity, etc.ew
— @tay@robins.one 🦊🏳️⚧️ (@TayIorRobinson) June 27, 2023
WHEREAS, NightOwl app enables Users to share internet traffic by modifying their device’s network settings to be used as a gateway for internet traffic. Additionally, the User’s device acts as a gateway for NightOwl app’s Clients, including companies that specialize in web and market research, SEO, brand protection, content delivery, cybersecurity, etc.
2023年06月頃に書き換えられたNightOwlのTERMS OF USE
これに気づいたイギリスのTaylor Robinsonさんは、NightOwlの元の開発者であるBenjamin Kramserさんに連絡(上記のツイート)し、2023年06月に現在のNightOwlの情報を公開、ユーザーに対しアプリをアンインストールするようブログで警告し、TPE.FYI LLCに質問していたそうですが、TPE.FYI LLCから返事はなかったそうです。
We want to address recent claims that NightOwl contains malware. We want to assure you that these claims are inaccurate and false. Our app does not contain any form of malware.
TPE.FYI LLCのWebサイトより
その後08月になり、この話題がHackerNewsやLifeHackerで取り上げられると、TPE.FYI LLCはNightOwlはマルウェアではないと反論(上記)したそうですが、2023年08月10日頃、AppleはNightOwlの現在の開発者(TPE.FYI LLC)の開発者署名を取り消したようです。
Appleにより署名が無効化されたNightOwlは、インストーラーが開けずインストールすることは不可能で、既にインストール済みのNightOwlは起動しようとすると「NightOwl”を開くとコンピュータが破損します。」という警告が表示されGatekeeperにブロック&Appleにマルウェアレポートを送信するようになっていますが、
TPE.FYI LLCのNightOwlはインストール時に起動にroot権限で実行されるエージェントやAutoUpdateをインストールしているため、Robinsonさんは(2022年末から)最近NightOwlをインストールしたユーザーに対し、以下のコマンドをターミナルで実行し、完全にアンインストールすることを勧めています。
sudo killall NightOwl launchctl unload ~/Library/LaunchAgents/NightOwlUpdater.plist sudo killall AutoUpdate sudo rm -rf /Applications/NightOwl.app/ ~/Library/LaunchAgents/NightOwlUpdater.plist sudo zsh -c "rm /Users/*/Library/LaunchAgents/NightOwlUpdater.plist"
タイムライン
- 2018年06月 :
▶ Appleが次期「macOS 10.14 Mojave」にダークモードを導入すると発表。 - 2018年07月 :
▶ Benjamin Kramserさんがライトとダークモードを切り替えられる「NightOwl」をリリース。 - 2022年11月 :
▶ Benjamin Kramserさんが「NightOwl」をTPE.FYI LLCへ売却。 - 2022年12月 :
▶ TPE.FYI LLCが「NightOwl」にサードパーティ製SDKを導入。(この頃からボットネット化?) - 2023年06月 :
▶ TayIor Robinsonさんが「NightOwl」のサービス利用規約が変更され、アプリがネットワーク設定を変更しデーモン常駐させることを発見。 - 2023年08月 :
▶ NightOwlのボットネット化がメディアに取り上げられ、マルウェアになったという記事が出るとTPE.FYI LLCがデマだと反論。 - 2023年08月11日頃? :
▶ AppleがNightOwlの開発者署名を取り消し。
- Uninstall the Nightowl App, now. – Robins.one
コメント