Appleはユーザーのセキュリティとプライバシーを最優先に考えていることを誇りとしています。信頼できる厳選されたソフトウェアを幅広くダウンロードできるiOSとMac App Storeを、その取り組みの柱と位置付けています。しかし、このアプローチによって、ユーザーがオープンウェブ上で悪質なものをダウンロードさせられる可能性は確かに最小限に抑えられますが、マルウェアが紛れ込むことは避けられません。今回のケースでは、Mac App Storeで最も人気のあるソフトウェアの一つが、その対象となっているようです。
セキュリティスキャンアプリ「Adware Doctor」は現在、Mac App Storeの有料アプリランキングで4位にランクされています。しかし、Privacy 1stを名乗る研究者が、このアプリの不審な動作を詳細に説明した概念実証ビデオを公開したことを受け、Macセキュリティ研究者のDigita SecurityのPatrick Wardle氏とMalwarebytesのThomas Reed氏も独自に調査を行いました。
研究者たちは、Adware Doctorがユーザーに関するデータ、特に閲覧履歴やマシン上で実行されている他のソフトウェアやプロセスのリストを収集し、そのデータをロックされたファイルに保存し、中国にあると思われるサーバーに定期的に送信していることを発見した。(ちなみに、研究者たちは、Adware Doctorはアドウェアスキャナーとしてもあまり優れていないと述べている。)これらの行為はすべてApp Storeの開発者ガイドラインに違反しているように見えるが、Privacy 1stは数週間前にAppleに懸念を通知したにもかかわらず、アプリはそのまま残っている。
(更新: この記事が公開されてから数時間後、そしてセキュリティ研究者が最初に連絡を取ってから数週間後、Apple は Adware Doctor を Mac App Store から削除しました。1 )
リリー・ヘイ・ニューマン
「残念ながら、App StoreはAppleが人々に期待しているような安全な避難場所ではありません」とリード氏は語る。「私たちはApp Storeで様々な疑わしいアプリを検出し、追跡しています。すぐに削除されたものもあれば、削除に6ヶ月もかかったものもあります。完全なマルウェアではありませんが、ユーザーのデータを盗むこのジャンクソフトウェアは非常に危険です」。AppleとAdware Doctorは、WIREDからの複数回のコメント要請には応じなかった。
ユーザーがAdware Doctorをダウンロードすると、macOSの「ホーム」フォルダへのアクセス許可を求められます。Mac App Storeの人気アプリであるため、ユーザーは信頼できると判断してこのアクセス許可を付与する可能性が高いでしょう。しかし、Wardle氏は、このアプリがこのアクセス許可を得ると、すぐにユーザーのプライバシーとAppleの規則の両方に違反する方法でユーザーデータを収集しようとすることを発見しました。
Macアプリは「サンドボックス」と呼ばれるコンテナ内で互いに、そしてオペレーティングシステムからも隔離されており、プログラムが機能に必要以上のアクセスをできないようにしています。しかし、Adware Doctorはユーザーが許可した権限を利用してデータを収集し、サンドボックスの保護を回避する方法を見つけます。特にウォードル氏によると、このプログラムはユーザーのコンピュータで実行されている他のソフトウェアに関する情報を取得するために、様々な戦術を試みます。
信頼できるウイルス対策ソフトなど、一部のプログラムはこの機能を安全かつ合法的に利用していますが、App Storeアプリはサンドボックス内からこの機能にアクセスできないように設計されています。macOSにはすでにAdware Doctorの攻撃の一部を阻止する防御機能が組み込まれていますが、最終的にはシステムAPI(アプリケーションプログラミングインターフェース)を通じて実行中のプログラムやプロセスのリストを収集できる可能性があります。さらに悪いことに、Wardle氏によると、Adware Doctorが実行中のプロセスのリストを作成するために使用するコードは、攻撃者が標的の活動やネットワークに関する情報を取得するために利用できるもので、Appleがドキュメンテーション資料の一部として公開しているサンプルから引用されているとのことです。
「このアプリはひどい。AppleのApp Storeのガイドラインを露骨に違反している」とウォードル氏は言う。「レビューは絶賛ばかりだが、これは大抵の場合、偽物である証拠だ。Appleは『我々は全てを把握している。信頼してもらえる』という傲慢さを漂わせている。しかし現実は、非常に怪しく、非常に人気のあるアプリがあるにもかかわらず、Appleは何も対策を講じていないのだ。」
Adware Doctorも、長年にわたりその限界を押し広げてきたことが判明しました。リード氏によると、MalwarebytesがAdware Doctorの追跡を開始したのは2015年で、当時はAdware Medicと呼ばれていました。これはリード氏が開発した正規のスキャナーの名前でもありました。MalwarebytesはAppleに通知し、Appleはアプリを削除しましたが、リード氏によると、数日後にはAdware DoctorとしてApp Storeに再登場したとのことです。
マルウェアバイトは長年にわたりこのアプリを追跡し続け、機能が限られていたため疑わしいと判断しました。保護機能は、効果的なカスタマイズされたツールではなく、汎用的なオープンソース製品に基づいているためです。しかし、Privacy 1stの新たな調査結果によると、このアプリは最近アップデートによって疑わしい機能を拡張した可能性があります。「しばらく前から詐欺的な動きがありましたが、これはこれまで観察されていなかった新しい動作でした」とリード氏は述べています。
Adware Doctor もまた、セキュリティ製品を装って信頼性を高め、スキャンツールとしての高度なシステム権限を取得するという、よくある戦略を利用しています。しかし、Apple はほとんどの正規のウイルス対策スキャナーを App Store で公開していません。これは、正規のウイルス対策スキャナーが過度なシステムアクセスを必要とし、App Store のより厳格なサンドボックス要件を満たせないためです。これは、セキュリティツールをダウンロードするのに最適な場所は App Store だと当然考えているユーザーにとって、混乱を招く可能性があります。
ウォードル氏とリード氏は共に、Mac App Storeの全体的なコンセプトと使命を支持しており、Appleのアプリ審査への取り組みを評価している。しかし、Appleはアプリのアップデート版を初回提出時ほど徹底的に監査しない可能性があると指摘し、研究者の懸念に迅速に対応することでApp Storeを改善できる可能性があると指摘している。
ウォードル氏によると、Privacy 1stが先週Adware Doctorに関する調査結果を公表して以来、アプリはユーザーデータを受信していたサーバーをオフラインにする方向に転換したという。しかし、アプリは依然としてデータを送信しようとしており、監視が弱まればアプリ開発者は簡単にサーバーをオンラインに戻すことができる。
ウォードル氏は、Adware DoctorはApp Storeで最も売れているアプリであり、Appleはすべてのアプリの収益の一部を受け取っているため、Appleの対応の遅さは今回の状況において特に悪い印象を与えると指摘する。「Appleが悪意を持っているとは考えていません。おそらく、単にこれを見逃しただけでしょう」とウォードル氏は言う。「しかし、このアプリはAppleに莫大な利益をもたらしているはずです。もしAppleがアプリを削除し、顧客に返金すれば、App Storeにおける安全性への取り組みを示すのに役立つでしょう。」
App Storeで悪質アプリが見つかることは前例がないわけではありませんが、これほど広くダウンロードされているアプリが精査されるのは異例です。これは、新しいソフトウェアをダウンロードする際には常に何らかのリスクが伴うことを改めて認識させる重要な事例です。
1 この記事は、公開されてから数時間後に Apple が Adware Doctor を削除したことを反映して更新されました。
WIREDのその他の素晴らしい記事
- GoogleはURLを廃止したい
- 観光は世界最大の望遠鏡を脅かすでしょうか?
- 『サーチング』が単なる「インターネット映画」を超えた理由
- テクノロジー企業のCEOがこの混乱を解決できないふりをするステップ
- ブロックチェーン投票の革新的な計画を持つ男に会う
- もっと知りたいですか?毎日のニュースレターに登録して、最新の素晴らしい記事を見逃さないでください。
