趨勢macOS全家桶隱私竊取分析
0x0 概述
2018.9.10,網路曝光趨勢科技做的 Mac 解壓縮軟體會上傳使用者瀏覽器歷史記錄,相關資料參考:
ofollow,noindex" target="_blank">Additional Mac App Store apps caught stealing and uploading browser history
Get rid of Open Any Files: RAR Support
A Deceitful ‘Doctor’ in the Mac App Store
趨勢全家桶 所有app資訊如下:
事件曝光之後,相關產品已經從appstore下架,只剩兩個wifi相關app:
好在此前已經安裝過部分相關應用,故藉此對其分析驗證
0x1 隱私&隱私政策
0x11 情況彙總
最終分析結果彙總如下: 
0x12 部分隱私獲取方式
趨勢全家桶系列app在初次執行時都會顯示相關隱私政策,並要求申請相關資源訪問許可權,當用戶允許後即可通過sandbox相關介面來訪問相關隱私資料,獲取方式如下:
| 隱私 | 獲取方式&路徑 |
|---|---|
| Safari歷史記錄 | Library/Safari/History.db |
| Chrome歷史記錄 | Library/Application Support/Google/Chrome |
| Firefox歷史記錄 | Library/Application Support/Firefox/Profiles/%@/places.sqlite |
| AppStore歷史記錄 | Library/Containers/com.apple.appstore/Data/Library/Caches/com.apple.appstore/WebKitCache/Version 11/Blobs |
| 裝機列表 | /usr/sbin/system_profiler -xml SPApplicationsDataType |
0x13 趨勢產品隱私策略
以下為趨勢的產品隱私策略
Privacy Policy for Trend Micro Products and Services (Effective March 2018)
啟用產品時會獲取的資訊,都是比較常規資料
部分服務所需的資料,其實比較敏感的有訪問過的URL、域名、IP等資訊,和可疑郵件的收發件人及附件等,當然具體都需要看實際產品功能來判斷
0x2 詳細分析
0x21 Dr.Unarchiver
Dr.Unarchiver產品資訊如下:
通過抓包分析實際並未發現上傳隱私:
然而程式程式碼中卻明確出現Firefox、Chrome、Safari等瀏覽器記錄資料庫檔案目錄字串:
通過字串跳入程式碼,即讀取瀏覽器隱私的部分程式碼,以下為讀取chrome記錄:
讀取Safari歷史記錄:
Dr.Unarchiver裡讀取隱私部分主要位於-[DACollector *]模組中,從模組命名可以發現,除了3個瀏覽器記錄,同時還讀取了AppStore歷史記錄、裝置裝機列表、使用者資訊等。
獲取裝置裝機列表方式通過執行“/usr/sbin/system_profiler -xml SPApplicationsDataType“指令來完成:
該指令執行後獲取資料如下,包含了app的安裝時間、路徑、證書等資訊:
另外比較有意思的地方為,程式中還有照片庫的字串及相關程式碼
獲取隱私後上傳地址如下:
趨勢官網Dr. Unarchiver產品說明裡明確說明會讀取瀏覽器記錄:
0x22 Dr. Antivirus
下圖為Dr. Antivirus介面:
Dr. Antivirus中獲取資訊模組與Dr. Unarchiver完全一樣:
但相對的,多出了post回傳模組,不過Dr. Antivirus作為反病毒軟體,回傳裝機列表也屬於正常行為:
通過動態抓包,可以確定Dr. Antivirus會回傳裝置裝機列表:
另外會上傳一個“file.zip“包,回傳路徑與Dr. Unarchiver分析一致:
從上傳的資料包中提取出“file.zip”檔案,發現已經加密:
分析該部分程式碼,發現使用金鑰為“novirus”
解密後可以看見都是獲取的瀏覽器記錄和app列表等資訊:
如下圖為chrome瀏覽器記錄:
其實甚至還單獨篩出了google搜尋記錄:
下圖為趨勢官網Dr. Antivirus產品說明,裡面明確申明會讀取app安裝歷史記錄、當前裝機列表、瀏覽器記錄等隱私,作為反病毒軟體讀取app列表能理解,但回傳瀏覽器記錄、搜尋記錄等隱私就過了。
0x23 DrCleaner
DrCleaner介面如下:
DrCleaner獲取隱私資訊模組名與之前二者有所不同,但獲取的隱私、方法名、程式碼基本一樣:
DrCleaner同樣使用“novirus”作為zip包加密金鑰:
下圖為趨勢官網Dr. Cleaner產品說明,裡面明確申明會讀取瀏覽器記錄等隱私
[Dr. Cleaner Data Collection Disclosure] https://esupport.trendmicro.com/en-us/home/pages/technical-support/1119854.aspx
0x24 DrBattery
DrBattery初次執行會要求訪問使用者主目錄(其他程式初次執行也都會申請相關訪問許可權):
DrBattery中有著與DrCleaner完全一樣命名方式的隱私獲取模組:
下圖為趨勢官網DrBattery產品說明,裡面明確申明會讀取瀏覽器記錄等隱私
0x25 AppManager
AppManager即App Uninstall初次執行要求申請相關訪問許可權,該應用中未發現相關隱私獲取程式碼:
下圖為趨勢官網App Uninstall產品說明,裡面未申明會讀取瀏覽器等相關隱私
0x26 測網速大師Dr. WiFi
測網速大師Dr. WiFi執行介面,該app中未發現相關隱私獲取程式碼:
下圖為趨勢官網Dr. WiFi產品說明,裡面未申明會讀取瀏覽器等相關隱私
0x27 家庭網路衛士Network Scanner
家庭網路衛士Network Scanner初次執行顯示的隱私政策及要求申請相關訪問許可權,該應用中未發現相關隱私獲取程式碼:
下圖為趨勢官網Network Scanner產品說明,裡面未申明會讀取瀏覽器等相關隱私
HouseCall for Home Networks (for Windows & Mac) v1.1.7 Data Collection Notice
0x3 小結
趨勢全家桶還有少數幾個app並未獲取到,但從以上內容基本可以確定其確實有竊取使用者瀏覽器記錄、搜尋記錄、裝機列表等隱私的行為,雖然其在隱私政策申明瞭相關資訊(但真有使用者會去仔細閱讀麼)
而在 A Deceitful ‘Doctor’ in the Mac App Store 一文中,分析的應用為“Adware Doctor”,與本文趨勢全家桶並非同一證書:
但二者卻有諸多相同點,如獲取隱私的方法名及相關程式碼:
通過sandbox介面訪問資料部分模組,其類名、方法名、相關程式碼也基本一致,故推斷二者可能為同一開發者(趨勢的臨時工?)
在溯源過程中通常會參考絕對路徑裡的username,但這些app中均只有“autobuild”和“jenkinsbuld”兩個id,開發者對自我有一定的隱藏意識:
而 Jenkins 更有可能為開發者使用下圖中整合工具時起的id
