Apple supprime une populaire application du Mac App Store qui subtilisaient les données des usagers

Apple a retiré une application très populaire du Mac App Store, après que des chercheurs en sécurité eurent découvert que l'application se connectait secrètement et envoyait l'historique de navigation de ses utilisateurs et d’autres données sensibles à des serveurs distants.

L'application frauduleuse, appelée Adware Doctor, était, avant sa suppression, la quatrième application payante la plus populaire dans le magasin et l'application payante la plus rentable dans la catégorie « utilitaires ». Elle était présentée comme un outil pour améliorer la sécurité et la confidentialité des utilisateurs, et leur promettait d'empêcher « les logiciels malveillants et les fichiers malveillants d'infecter votre Mac », ainsi que de les aider à « se débarrasser des pop-up publicitaires ennuyeuses ».

Le comportement indésirable de l'application a d'abord été révélé dans une vidéo de réalisation expérimentale réalisée par un chercheur en sécurité, qui utilise le pseudonyme Privacy1st sur Twitter. Ces résultats ont par la suite été confirmés et décrits par un autre chercheur, Patrick Wardle, dans ce billet.

Affichage d’Adware Doctor sur le Mac App Store (source : blogue de Patrick Wardle)

Lorsqu'elle est exécutée pour la première fois, l'application demande à l'utilisateur la permission d'accéder au répertoire personnel du système et à tous les sous-répertoires et fichiers qui s'y trouvent. Ceci n'est pas inhabituel pour les outils de sécurité, comme le note également Wardle, car « un outil anti logiciel malveillant ou anti-adware (ou anti logiciel publicitaire) va avoir besoin d'un accès légitime aux fichiers et répertoires de l'utilisateur - par exemple pour les analyser à la recherche de codes malveillants. »

Cependant, Adware Doctor va au-delà des attentes des utilisateurs ou, plus précisément, de ce que ce dernier veut qu'il ne fasse. Entre autres choses, l'application crée une archive protégée par mot de passe, soit history.zip, qui contient l'historique de navigation d'un utilisateur depuis Safari, Chrome et Firefox. Régulièrement, le fichier est transmis à des serveurs qui semblent être basés en Chine, d'où le développeur de l'application est également originaire.

Parmi les données que l'application siphonne aussi -  il va sans dire, également à l'insu ou sans le consentement de l'utilisateur – on retrouve une liste des processus exécutés sur la machine et un historique des recherches effectuées par l'utilisateur dans le Mac App Store.

Avant son retrait, l'application avait reçu des milliers d'avis très élogieux, ce qui lui avait valu une note quasi parfaite de 4,8 étoiles. Leur authenticité a toutefois été mise en question.

Adware Doctor était vendue au détail pour 4,99 $, prétendument en vente par rapport à son prix habituel de 14,99 $. Ce qui semblait être une bonne affaire s'est avéré être tout sauf une bonne affaire.