https://www.01net.com/actualites/le-mac-app-store-est-infeste-d-applis-qui-volent-les-donnees-des-utilisateurs-1520629.html#?xtor=EPR-1-%5BN-Actus%5D-20180910

Le Mac App Store est infesté d'applis qui volent les données des utilisateurs

Sous couvert de fonctionnalités de sécurité, une série d'applications douteuses récoltent des données sensibles et les envoient vers des serveurs tiers. Parmi les auteurs se trouvent l'éditeur Trend Micro.

01net10/09/2018 à 14h48

En juin dernier, Phil Schiller, le chef marketing d'Apple, a déclaré que le Mac App Store était « l'endroit le plus sûr pour avoir des applications Mac », notamment en raison du processus de vérification mis en place par la firme. Ce processus n'est visiblement pas très efficace car les applications qui volent en douce les données des utilisateurs commencent à pulluler sur cette boutique applicative.

Plusieurs chercheurs en sécurité viennent de pointer une série d'applications qui, sous couvert de fonctionnalités utilitaires ou de sécurité, exfiltrent en réalité des données sensibles vers des serveurs tiers, comme l'historique de navigation, la liste des applications téléchargées ou la liste des processus actifs.

Des applications très populaires 

Les applications épinglées sont Adware Doctor, Open Any Files, Dr.Antivirus, Dr.Cleaner Pro, Dr.Cleaner Disk et Dr.Unarchiver. Le hic, c'est que toutes ces applications sont plutôt très bien positionnées au niveau du Mac App Store. Elles figurent même dans le Top 10 des téléchargements, comme on peut d'ailleurs le voir sur le site d'Apple.

Apple.com -

Cela fait plus d'un mois que les chercheurs en sécurité ont alerté Apple sur le danger de ces applications pour la protection des données personnelles. Ce n'est finalement que maintenant, après la multiplication des notes de blog et des articles de presse, que la firme a finalement réagi. Si vous faites partie des utilisateurs de l'une de ces applications, supprimez-la tout de suite.

Update: Apple removed most of the TrendMicro apps including the fake developer account they had to promote the Open Any Files, which was reported as malware by @thomasareed from @Malwarebytes .
Kudos to @Apple for fast action.

— Privacy 1st (@privacyis1st) 07:15 - 10 sept. 2018

Ce qui est d'autant plus incompréhensible dans cette histoire, c'est que l'éditeur de Dr.Antivirus, Dr.Cleaner et Dr.Unarchiver est la société Trend Micro, une société de solutions de sécurité qui a pignon sur rue. Dans une vidéo, le chercheur en sécurité « Privacy 1st » montre que les données volées sont exfiltrées vers un serveur appartenant au domaine trendmicro.com. Il ne peut donc pas y avoir de doute. Nous avons demandé une explication auprès de Trend Micro. Lorsque nous recevrons une réponse de leur part, nous mettrons à jour cet article.

SPOTTED: Dr. Cleaner + Dr Antivirus (Trend Micro developer) top sold apps from AppStore are stealing user privacy. PoC: https://vimeo.com/288846282 

— Privacy 1st (@privacyis1st) 12:34 - 8 sept. 2018

Hey @TrendMicro . Your MacOS app Dr.Unarchiver is doing same user data exfiltration. You are soo shady...
kudos to @_inside for finding.@AppleSupport @Apple @thomasareed @patrickwardle @BleepinComputer @Malwarebytes @TheHackersNews @9to5mac @MacRumors @ZDNet

— Privacy 1st (@privacyis1st) 21:13 - 9 sept. 2018

Apparemment, Trend Micro utilise même un faux nom. Ainsi, l'application Open Any Files est développé par un certain « Hao Wu », mais selon l'analyse de Thomas Reed de MalwareBytes, les données exfiltrées sont là encore envoyées vers le domaine trendmicro.com

Une technique d'arnaque bien connue

Pour mettre la main sur les données sensibles, ces applications utilisent une technique simple et éprouvée : elles demandent l'autorisation aux utilisateurs au travers d'un prétexte fumeux. Adware Doctor, dont le fonctionnement a été analysé en détails par Patrick Wardle, demande par exemple à l'utilisateur de procéder à un nettoyage au niveau « des extensions, des cookies et du cache » des navigateurs. En réalité, elle utilise ce droit d'accès pour agréger les historiques de tous les navigateurs en un fichier Zip qui sera envoyé à un serveur tiers. Selon le chercheur en sécurité, cette façon de faire est « une violation évidente de la confidentialité de l'utilisateur (et bien sûr des règles d'usage du Mac App Store) ».   

Mais ce n'est pas tout. Une faille dans les API d'Apple permet à Adware Doctor de sortir de son bac à sable et de lister les processus en cours d'exécution sur la machine. Là encore, cette information se retrouve dans le fichier Zip exfiltré, de même qu'une liste de toutes les applications que l'utilisateur a téléchargées dans le passé. Espérons qu'Apple musclera à l'avenir son processus de vérification.