Muchos usuarios afirman que macOS no tiene virus. Esto es una verdad a medias, ya que aunque no tiene virus como tal, sí que puede presentar graves problemas de seguridad a través de vulnerabilidades o apps que espíen determinados comportamientos de los usuarios. Esto es lo que ha ocurrido con Adware Doctor:Anti Malware &Ad, una de las apps de pago más descargadas de la Mac App Store.
Adware Doctor:Anti Malware &Ad, la app que roba tu historial en macOS
Esta app ha estado almacenando en secreto el historial de búsqueda de los usuarios que la tenían instalada, y posteriormente pasaba a enviarlo a un servidor ubicado en China. Ha sido el investigador Patrick Wardle quien alertó a Apple sobre esto hace un mes, pero la app todavía está presente hoy en la Mac App Store.
De hecho, todavía se sitúa en el cuarto lugar entre las aplicaciones más descargadas, sólo por detrás de Final Cut Pro, Magnet y Logic Pro X. Además, es la utilidad de pago más descargada, con un precio de 4,99 dólares, y certificada por Apple. Junto a ella hay muchas opiniones positivas falsas de 5 estrellas.
Inicialmente el nombre de la app fue Adware Medic, cuya dueña era Malwarebytes, lo que llevó a Apple a eliminarla. Sin embargo, cambiaron de nombre a Adware Doctor, y procedieron a validarla de nuevo en la App Store.
Wardle envió un email a Apple hace un mes, y todavía no han quitado la app
Patrick Wardle decidió investigarla después de que Privacy 1st detectara un comportamiento sospechoso de la app. Analizando la app descubrió que creaba un archivo .zip protegido por contraseña llamado history.zip, el cual pasaba a enviarse a un servidor ubicado en China. La contraseña estaba incluida en el código de la aplicación.
En su interior descubrió que se guardaba el historial de navegadores como Chrome, Firefox y el propio Safari, así como las apps que el usuario descargaba y desde qué fuente lo hacía. Normalmente, el sandboxing hace que una aplicación no pueda acceder al contenido de otra, pero cuando se instala Adware Doctor:Anti Malware &Ad se le da permiso universal, lo cual es comprensible en una herramienta para escanear virus. Sin embargo, podía acceder a procesos en ejecución sin mayor problema, y lo hacía además usando código desarrollado por la propia Apple en el elemento GetBSDProcessList para obtener el listado de procesos en ejecución.
El servidor en el que se recopilaba la información ha sido desactivado debido a la atención que ha recibido ahora, pero los creadores de la app podrían simplemente redirigir su app a otro nuevo o volver a reactivarlo posteriormente. Wardle, por su parte, está asombrado de que Apple haya dejado el malware pululando por su tienda durante un mes sin que hayan retirado la app. Apple afirma tomarse muy en serio la seguridad y privacidad de sus usuarios, pero habiendo dejado la app durante un mes demuestran todo lo contrario. Wardle lo reportó el 7 de agosto, y desde entonces no ha recibido respuesta de Apple.