Spionage-Apps im Mac App Store aufgetaucht

Apple hat mit erheblicher Verzögerung Anwendungen aus dem Mac App Store entfernt, nachdem Sicherheitsforscher über deren Spionage-Aktivitäten berichteten. Darunter befand sich mit Adware Doctor sogar eine App, die mit einem Verkaufspreis von 4,99 Dollar als die App mit dem viertstärksten Umsatz im Store ausgewiesen wurde. In der Utility-Kategorie erreichte die Anwendung eines wenig bekannten chinesischen Entwicklers – trotz einer dubiosen Vorgeschichte seit dem Jahr 2015 – sogar den höchsten Umsatz,

Adware Doctor gab vor, den Webbrowser vor Adware zu schützen, indem er Erweiterungen, Cookies und Cache-Inhalte entfernt. Mit einer ausführlichen technischen Analyse deckte Patrick Wardle von Digita Security jedoch auf, dass der Doktor reichlich sensible Nutzerdaten sammelt und an chinesische Server schickt. Dazu zählen der Suchverlauf in Safari, Chrome und Firefox, eine Liste aller laufenden Prozesse sowie eine Liste der Software-Downloads.

Um auf die laufenden Prozesse zuzugreifen, nutzte die App ein noch offenes Schlupfloch, durch das sie die Restriktionen Apples überwinden konnte. Die Spionage wurde aber auch durch Berechtigungen möglich, die vom Benutzer eingeholt wurden, ohne die dahinterstehende Absicht offenzulegen. Das Vorgehen steht eindeutig im Widerspruch zu Apples Datenschutz-Richtlinien. Der Sicherheitsforscher zweifelt daher an Apples Versprechen, jede App sorgfältig zu prüfen, bevor sie für den Store akzeptiert wird.

Wardle gab seine Erkenntnisse an Apple weiter, das eine Prüfung versprach, aber einen ganzen Monat lang nichts unternahm. Erst nach seiner veröffentlichten Analyse und Presseberichten entfernte Apple schließlich die zweifelhafte Software.

Apple benötigt sehr viel Zeit, um gefährliche Apps zu löschen

Mit dieser und ähnlichen Apps beschäftigen sich schon länger die Sicherheitsforscher von Malwarebytes. Sie berichten, dass Apple manchmal bis zu sechs Monate benötigt, um eine gemeldete App zu entfernen – und zudem manche Apps schnell wieder zurückkehren, manchmal unter einer ähnlichen Bezeichnung. „Wir haben Software wie diese über Jahre hinweg über verschiedene Kanäle an Apple gemeldet, und es hat selten eine unmittelbare Wirkung“, schrieben sie In einem Blogeintrag.

Malwarebytes wies außerdem auf Anwendungen hin, die ähnlich wie Adware Doctor sensible Nutzerdaten einholen. Open Any Files, Dr. Cleaner und Dr. Antivirus etwa schicken demnach eine ZIP-Datei mit dem vollständigen Surf- und Suchverlauf von Safari, Chrome sowie an die URL „update.appletuner.trendmicro.com/1/upload/search_keywords/“. Mit dabei ist außerdem noch der vollständige Besuchsverlauf aus dem App Store. Bei Dr. Antivirus kommt noch die Datei app.list mit detaillierten Informationen über alle im System gefundenen Anwendungen hinzu. „Außerdem gab es nichts in der App, um den Nutzer über dieses Datensammeln zu informieren, und es gab keine Möglichkeit eines Opt-out“, stellten die Sicherheitsforscher fest.

9to5Mac wollte zunächst nicht glauben, dass die zuletzt erwähnten Apps vom bekannten Softwareanbieter Trend Micro verbreitet wurden. Das für die Domain drcleaner.com ausgegebene Zertifikat lasse jedoch keinen Zweifel daran. Auf dieser Website werden Dr. Cleaner, Dr. Antivirus und Dr. Unarchiver zum kostenlosen Download aus dem Mac App Store beworben. Ein Klick darauf führt jedoch nicht mehr zum Ziel – Apple hat offenbar endlich reagiert und auch diese Apps gelöscht.