Hôm nay, chúng ta đang nói cụ thể về các ứng dụng được phân phối bởi “Trend Micro, Inc.” (một công ty bảo mật nổi tiếng), bao gồm Dr. Unarchiver, Dr. Cleaner và các ứng dụng khác. Vấn đề ăn cắp dữ liệu này đã được báo cáo trước đây bởi người dùng trên diễn đàn Malwarebytes và trong một báo cáo khác. Các nhà nghiên cứu đã theo dõi và thấy rằng các ứng dụng được phân phối bởi tài khoản “Trend Micro, Inc.” trên Mac App Store “thu thập” và upload lịch sử duyệt web từ trình duyệt Safari, Google Chrome và Firefox lên máy chủ của họ. Ứng dụng này cũng sẽ thu thập thông tin về các ứng dụng khác được cài đặt trong máy. Tất cả thông tin sẽ được thu thập khi chạy ứng dụng, sau đó nó sẽ nén thành tệp zip và tải lên máy chủ của nhà phát triển.

Dr Unarchiver - một trong những ứng dụng hỗ trợ file nén phổ biến nhất trên macOS.

Lập trình viên Guilherme Rambo từ trang 9to5Mac có thể xác nhận tính xác thực của thông tin này, ít nhất là với ứng dụng Dr. Unarchiver. Sau khi giải nén một tập tin zip bằng ứng dụng này, nó sẽ cung cấp cho bạn lựa chọn 'Quick Clean Junk Files' (quét file rác). Khi Chọn “Scan”, một hộp thoại khác mở ra với thư mục chính đang được chọn (đây là cách ứng dụng này lấy quyền truy cập vào thư mục chính của người dùng) để có thu thập lịch sử từ các trình duyệt. Sau khi cho phép truy cập vào thư mục chính, ứng dụng đã có thể tiến hành “thu thập” dữ liệu cá nhân và tải lên máy chủ của họ.

Ứng dụng gợi ý người dùng nên quét file rác (nếu nhấn 'scan' ứng dụng đã có quyền truy cập vào home directory của máy)

Thử kiểm tra các tệp mà ứng dụng Dr. Unarchiver nén và tải lên máy chủ cho thấy chúng chứa đầy đủ lịch sử của trình duyệt Safari, Google Chrome và Firefox, một tệp khác chứa thông tin tìm kiếm trên Google gần đây, hay chứa danh sách đầy đủ tất cả các ứng dụng được cài đặt trên máy, bao gồm thông tin về nơi ứng dụng đã được tải xuống, chúng có tương thích với hệ thống 64-bit hay không và chữ ký số của ứng dụng.

Dữ liệu bị đánh cắp bao gồm lịch sử trình duyệt (cả Safari, Chrome và Firefox), tin nhắn iMessage, email, thông tin các ứng dụng cài đặt trên máy,...

Tính đến hôm nay, “Dr. Unarchiver ”là ứng dụng miễn phí phổ biến (thứ 12) ở Mỹ trên Mac App Store. Đây là một vấn đề về quyền riêng tư lớn, người dùng không bao giờ muốn các ứng dụng sandbox có được mức truy cập này trong hệ thống, nhưng điều quan trọng cần lưu ý là khi hộp thoại mở file (open file dialog) được ứng dụng sandbox sử dụng để mở thư mục chính (home directory) trên máy, đồng nghĩa ứng dụng đó có khả năng truy cập vào nhiều thông tin cá nhân bao gồm lịch sử duyệt web, tin nhắn iMessage, e-mail và nhiều dữ liệu khác. Apple đang cải thiện tình trạng này trên MacOS Mojave, nhưng quy trình xét duyệt ứng dụng trên App Store nên chặc chẽ hơn để nhận biết và từ chối các ứng dụng vi phạm quyền riêng tư của người dùng như thế này.

Bằng cách sử dụng proxy, tác giả đã có thể thấy ứng dụng Dr. Unarchiver đang thực hiện upload dữ liệu người dùng lên server.

Các kỹ thuật được sử dụng trong các ứng dụng như Dr. Unarchiver rất giống với Adware Doctor (ứng dụng này cũng đã lấy cắp dữ liệu người dùng và gửi về server Trung Quốc). Nếu bạn muốn tự bảo vệ mình khỏi nguy cơ này, đừng bao giờ cho phép ứng dụng - ngay cả những ứng dụng từ App Store – có quyền truy cập vào thư mục chính (home directory), điều này có thể xảy ra nếu ứng dụng bật hộp thoại mở file và bạn mở thư mục chính (home directory) bằng ứng dụng đó, hoặc nếu bạn kéo thư mục chính vào ứng dụng.

Những ứng dụng khác từ Trend Micro, Inc. cũng có khả năng đánh cắp dữ liệu người dùng.

@hieucocc | TECHRUM | 9to5Mac