Apple verwijdert populaire anti-adware-app die gebruikers bespiedt uit App Store

Apple heeft Adware Doctor, een populaire betaalde anti-adware-applicatie voor macOS, uit de App Store verwijderd. Meerdere security-onderzoekers hebben aangetoond dat de app onder andere browsergeschiedenis en een overzicht van lopende processen doorspeelt naar een webserver.

Volgens de oorspronkelijke ontdekker 'Privacy 1st' stuurt de app de browsergeschiedenis, Appstore-zoekgeschiedenis en lijst met lopende processen door naar een server die vermoedelijk in China staat. Na Privacy 1st bevestigden onderzoekers van Digita Security en Malwarebytes de bevindingen. Ze stellen ook dat ze Apple al een maand geleden op de hoogte hadden gesteld van de bezigheden van de app, maar tot vrijdag is Adware Doctor gewoon nog te koop gebleven.

Volgens de onderzoekers stond de app op de eerste plek in de 'poplairste betaalde apps'-categorie. Het was mogelijk juist die populariteit waardoor gebruikers de app toestemming gaven om in de Home-map te grasduinen. De verdere stappen die de app zet, zijn opgesomd in een proof of concept-video die de oorspronkelijke ontdekker op YouTube zette.

Naast het bespieden zijn volgens de onderzoekers de reviews voor de app waarschijnlijk ook nep. Dat baseren ze op de overdreven positieve toon die de recensies hebben. De applicatie ging eerder door het leven onder de namen AdBlock Master en Adware Medic, niet te verwarren met AdwareMedic, zonder spatie, van Malwarebytes. Volgens Patrick Wardle van Digita Security is de server waar de data naartoe gestuurd wordt, momenteel offline.

Door Mark Hendrikman

Redacteur

Feedback • 07-09-2018 19:20
49 • submitter: ShellGhost

07-09-2018 • 19:20

49

Submitter: ShellGhost

Lees meer

Trend Micro: onze macOS-apps stalen browsergeschiedenis 'per ongeluk'
Trend Micro: onze macOS-apps stalen browsergeschiedenis 'per ongeluk' Nieuws van 11 september 2018
Apple verwijdert meer apps uit Mac App Store die browsergeschiedenis stalen
Apple verwijdert meer apps uit Mac App Store die browsergeschiedenis stalen Nieuws van 10 september 2018
Apple stopt met Terug naar mijn Mac
Apple stopt met Terug naar mijn Mac Nieuws van 22 augustus 2018
'Aanval steelt inloggegevens via wachtwoordmanager met behulp van gastaccount'
'Aanval steelt inloggegevens via wachtwoordmanager met behulp van gastaccount' Nieuws van 13 augustus 2018
Apple brengt software-update uit tegen throttling bij nieuwe MacBook Pro's
Apple brengt software-update uit tegen throttling bij nieuwe MacBook Pro's Nieuws van 24 juli 2018
Meer producten en artikelen
Networking en security Apple macOS Spyware

Reacties (49)

-Moderatie-faq
49
46
25
2
0
11
Wijzig sortering
Soldaatje 7 september 2018 20:16
Deze Li Wenhui heeft nog meer apps op zijn/haar kerfstok: https://fnd.io/#/us/softw...1136565906-li-wenhui/apps
Wellicht interessant om die te vermijden.
watercoolertje
7 september 2018 19:33
Vind het wel vreemd dat dat allemaal kan/mag op een toestel, mag toch hopen dat daar wel toestemming voor gegeven moet zijn.

En natuurlijk vreemd dat dit door de keuring komt...
Robbierut4 @watercoolertje7 september 2018 19:39
"Het was mogelijk juist die populariteit waardoor gebruikers de app toestemming gaven om in de Home-map te grasduinen."
Uit het artikel.
watercoolertje
@Robbierut47 september 2018 19:52
Ja maar alsof ik weet wat daar in staat ;) windows gebruiker hier (waar alle apps bijna overal bij mogen ;))

Anyway ik was door het woord appstore in de war met ios, waar allea vrij strikt zou zijn dus vandaar de vraag.
ultimate-tester @watercoolertje7 september 2018 20:19
Windows heeft sinds Windows Vista iets dat User Account Control (UAC) heet waardoor je toestemming moet geven voor "gevaarlijke" acties. Daarnaast wordt bij applicaties die geen rechten hebben gekregen via het UAC venster het filesytem en registry gevirtualiseerd (eigenlijk gewoon geredirect). Hierdoor komen wijzigingen niet direct in het filesystem en registry te staan, maar in een kopie die per user uniek is (en hiermee wordt het systeem dus beschermd).

[Reactie gewijzigd door ultimate-tester op 22 juli 2024 14:49]

ilaurensnl @ultimate-tester8 september 2018 22:15
Maar een Adware applicatie geef je dan toch wel toegang tot volledig UAC rechten? Het beschermt juist jou computer op verdachte activiteiten en software.
ultimate-tester @ilaurensnl9 september 2018 20:29
Ja uiteraard, je geeft expliciet toestemming, maar het ging me om specifiek het stukje waarin watercoolertje laat denken dat alles op Windows zomaar mag, dat klopt dus niet. Je geeft er als gebruiker zelf toestemming voor, net zoals op elk ander platform...
Berlinetta @watercoolertje7 september 2018 22:22
Anyway ik was door het woord appstore in de war met ios, waar allea vrij strikt zou zijn dus vandaar de vraag.
Dat zou je denken.Malware has no trouble hiding and bypassing macOS user warnings
iAR @watercoolertje8 september 2018 15:21
Dat is op een Mac heel eenvoudig. De Home map bevat alle gegevens van de gebruiker, vergelijkbaar maar de User folder op Windows maar dan wat overzichtelijker ingedeeld.
WhatsappHack
@watercoolertje7 september 2018 19:39
Het gaat om de Mac App Store he, niet iOS. Daar is het wat makkelijker om diepgaande toegang tot je apparaat te geven omdat je veel vrijer bent qua permissies. Ze vragen bijvoorbeeld in een popupje om r/w toegang te verlenen tot /Users/jeusername/ en zodra je op kies klikt is de permissie toegekend.

Daarom is het gebruik van een goede firewall die je vraagt en laat zien waar de uitgaande verbindingen heengaan best prettig als je meent een app zulke toegang te moeten geven.

[Reactie gewijzigd door WhatsappHack op 22 juli 2024 14:49]

sumac @WhatsappHack7 september 2018 23:49
F-Seure XFence, plus Little Snitch, F-Secure antivirus en dan nog de standaard firewall. Het is veel klikken en goedkeuren, maar je blijft wel bij de les. Helaas is dit niet te doen voor de standaard gebruiker...
WhatsappHack
@sumac7 september 2018 23:55
Yup. De virusscanner heb ik meer voor het geval dat ik iets door moet sturen per mail naar iemand die Windows heeft en t blijkt dat het geïnfecteerd is. Nog nooit meegemaakt, maar better safe than sorry. En Little Snitch is inderdaad erg fijn (en soms vervelend maar ale, gelukkig is er Silent Mode voor tijdens het gamen :P)

Aanrader om te installeren zijn ook BlockBlock, Oversight en RansomWhere van Patrick Wardle (wordt in t artikel genoemd. Objective See.). Die zijn ook vaker vervelend dan nuttig, maar áls je ze een keer nodig hebt zal je denk ik heel blij zijn dat je ze hebt. :)

[Reactie gewijzigd door WhatsappHack op 22 juli 2024 14:49]

sumac @WhatsappHack8 september 2018 00:17
Aanrader om te installeren zijn ook BlockBlock, Oversight en RansomWhere
Maar wat voegen die toe tov XFence + Antivirus? Draai je deze drie er ook nog bij? Ik dacht dat ik al redelijk para was met mijn setup...
WhatsappHack
@sumac8 september 2018 00:44
Goede vraag, ik gebruik zelf XFence niet namelijk :) Ik was toen ik aan de virusscanner ging naargeestig op zoek naar een applicatie met zo min mogelijk footprint. In alle reviews die ik tegenkwam scoorde F-Secure niet zo goed op dat vlak, dus die heb ik links laten liggen en ben gebruik gaan maken van ClamXAV; een front-end voor ClamAV met een autoscanner ingebakken.

BlockBlock is een app die het installeren van willekeurige apps en startup-items tegengaat door jou eerst om toestemming te vragen. Shoot first, ask questions later. (Het heeft verder geen invloed op de rest van de installatie.)
Oversight waarschuwt als mic/cam aangaan - een soort van Micro Snitch, maar dan gratis.
RansomWhere detecteert het direct als een applicatie bestanden begint te encrypten, ook als dit een al bestaande app is (in 't geval van code injection o.i.d.). Wel soms false positives als ik encrypted bestanden aan het download ben, maar dan is 't gewoon een kwestie van op "Allow" klikken en voila.
Daarnaast nog KnockKnock als tool om kernel extensies en dergelijken te scannen en vergelijken met VirusTotal.
Last but not least heb ik ook nog een tooltje draaien dat automatisch alle rotzooi aan non-essentiële (third-party) cookies weglazert zodra ik de browser afsluit.
Verder ook nog een paar custom beveiligingsmaatregelen, maar dat is een prima set apps die voor iedereen te gebruiken zijn! :)

Als je heel para bent is JSBlocker misschien ook wel een leuke extensie voor je :P
Kan je per website compleet configureren welke externe resources je wilt laden en welke niet; dus elk individueel (remote) javascriptje niet inladen, (XHR)-GET en POST verzoeken naar de server weigeren en meer van dat soort fratsen. Eerste paar dagen een godsvermogen aan sites om in te stellen (ook zaken als iDeal en PayPal gezien die heel vaak calls doen naar subdomeinen; die je als je hem in de agressieve modus zet apart toestemming moet geven), maar daarna best prettig.
Je kan ook gewoon met één klikje een hele site laden en accepteren, dan blokkeert ie wel alsnog alles dat op blacklists staat maar de rest laat ie met rust.
En als je veel op de bedrijfsvloer zit en je laptop soms even alleen moet laten is "Do Not Disturb" (ook van Wardle) ook zeer interessant ;)

Best leuke tooltjes :)
Ik ben trouwens niet zo zeer para, ik vind het ook gewoon machtig interessant en handig - hou me veel met security bezig en hobby daar dan ook af en toe mee natuurlijk. Dan kunnen een heel scala aan tooltjes niet ontbreken; en het is interessant om te monitoren hoe erg de gebruiksvriendelijkheid wordt beïnvloed. Dat valt met al die tooltjes heel erg mee, alleen moet je wel snappen wat ze je vragen - en dat schort er bij veel mensen aan denk ik. :/


-edit-
Ik zie net trouwens dat Wardle ook LuLu heeft uitgebracht. Een gratis firewall; https://www.objective-see.com/products/lulu.html

[Reactie gewijzigd door WhatsappHack op 22 juli 2024 14:49]

sumac @WhatsappHack8 september 2018 17:01
Je had eerst Little Snitch, wat netwerkverkeer monitort, en van alle applicaties uitgaand verkeer blokkeert. Je moet dus per applicatie en evt per poort toestemming gaan verlenen. Toen ik dit installeerde ontdekte in ook Little Flocker, wat later gekocht is door F-Secure en nu XFence heet. Ik heb een gratis F-Secure antivirus abonnement op laptop en telefoon, en lees her en der dat F-Secure de zaken goed voor elkaar heeft, ook wat privacy betreft. Ik gebruik trouwens ook Freedome, de VPN-service van F-Secure.

Maar XFence doet bijna alles wat jij hier beschrijft, alleen op een radicaal andere manier. Iedere schrijf of leesactie wordt gemonitord - alle schijf-activiteit dus. Xfence zit daartussen, en voor alles moet je toestemming gaan geven. Daar wordt je af en toe helemaal gek van, maar daar kies je dus ook voor. Soms is niet helemaal helder welke applicatie toestemming vraagt voor wat, omdat veel processen via de basis-unix commando's lopen zoals mv en cp. Je geeft tijdelijk dan wel continu toestemming, en je kunt natuurlijk alle regels later inzien en verwijderen.
WhatsappHack
@sumac8 september 2018 19:01
Ah I see, I see. :)
Interessant, ik zal het eens bekijken; maar levert dat niet een enorme aanslag op de I/O op?

BlockBlock doet het voor zover ik weet enkel als er naar bepaalde cruciale gedeeltes geschreven probeert te worden, zoals shove tijdens de installatie of inderdaad een cp naar een bepaalde locatie of als er gepoogd wordt een kext in te laden (al gaat MacOS zelf dan ook zeiken). De rest laat ie met rust. Hij houdt het weliswaar tegen voordat de actie wordt voltooid (dus eerst toestemming, dan pas door) maar volgens mij niet door het te monitoren maar een hold te eisen. Ik vergeet soms het uit te zetten voordat de OS-update begint, dan klik je je eigen helemaal verrot op "allow" voor tig verschillende processen. :+
RansomWhere monitored overigens wel schrijfacties om te zien of ze encrypted zijn.

Ik ga de tool zeker eens bekijken en uitproberen om te zien hoe het werkt en hoe het zich verhoudt tot de voornoemde opensource tooltjes die ik gebruik. Als het een stuk meer CPU/IO vreet dan mot 't weg, anders ga ik ze eens tegen elkaar afzetten en zien wat ze doen. :) FSecure beweert dat ze kunnen samenwerken met andere tools, we'll see how that goes :D Thanks voor de tip.
Het stomme is dat ik Little Flocker ooit wel eens heb bekeken, maar dus dacht dat het gewoon weg was. Zal wel gemist hebben dat 't was overgekocht.

[Reactie gewijzigd door WhatsappHack op 22 juli 2024 14:49]

sumac @WhatsappHack8 september 2018 20:42
Met OS updates moet je XFence uitzetten. Anders lijkt de update te werken, en uiteindelijk ben je lang bezig, herstart en alles, maar geen update.
Rev-anche @WhatsappHack8 september 2018 00:58
Mooie collectie.
ken je Cookie AutoDelete al?
WhatsappHack
@Rev-anche8 september 2018 01:03
Thnx! :)

Ja, maar die werkt niet op Safari :P (En dat gebruik ik veelvuldig) Ik gebruik daar een losse app voor (had het er net toevallig over met sumac :P), die simpelweg "Cookie" heet. :) Na browser shutdown rost ie meteen alle overbodige (third-party) troep eruit. Na eerste installatie is het even heeeeel goed eerst aanvinken wat sowieso bewaard moest blijven voor 't geval dat, daarna runt het zichzelf eigenlijk. o0

Er is ook nog een tooltje dat je MAC-adres kan veranderen zodra je probeert te verbinden op een onbekend WiFi-netwerk. (En evt. daarna elke 30 minuten maar dat is wat temperamental.) Maar dat kan ook met een zelf geschreven scriptje en dan bijv. linken aan ControlPlane.
monojack @watercoolertje8 september 2018 07:20
Het is niet de eerste keer dat we je betrappen niet veel van Apple producten te snappen. Dit soort dingen zijn vrij normaal op jouw favoriete mobiele platform en zouden inderdaad merkwaardig zijn als het over Apple's mobiele platform zou gaan maar daar gaat het dus niet over. Het gaat over macOS en ja jij zal natuurlijk denken dat je op de desktop versie niks kan, zo gaat dat met mensen die niks begrijpen van het Apple eco-systeem maar er wel altijd kritiek op weten te geven.

Het gaat dus over macOS. macOS kan je zo onveilig maken als je wil zonder te moeten jailbreaken. Moest Apple dit onmogelijk maken dan zou je pas kritiek horen maar goed, jij hebt blijkbaar een pavloviaanse reactie waar je bij het het lezen van alleen al het woord Apple het schuim op de bek verschijnt en direct in pure alt-right stijl idiote verdachtmakingen begint te lanceren.
Orion64 7 september 2018 19:25
Voor de verandering blij met de app-gap op mijn winPhone.
watercoolertje
@Orion647 september 2018 19:30
Je kan op andere OSen ook gewoon kiezen om niks te installeren hoor :Y)
Orion64 @watercoolertje7 september 2018 19:33
Klopt, maar de verleiding is wel heel groot.
Ayporos @Orion648 september 2018 08:06
Onzin. Op mijn smartphone staan apps die ik gebruik en voor de rest kom ik gewoon niet in de App Store.

De verleiding is alleen groot als je (uit verveling) in zo'n App store gaat zoeken naar iets om je mee bezig te houden.
Indoubt @Orion647 september 2018 22:22
Security by obscurity inmiddels :)

moet maar eens een nieuwe accu scoren voor mn 950. Weet niet wat ik anders zou moeten kopen. :Y)
DeVins @Indoubt7 september 2018 22:48
Ha, zo heb ik tot een paar jaar geleden altijd mijn Nokia N9 en Nokia N900 gebruikt met MeeGo/Maemo. Wist niet wat anders zou moeten.. :) Uiteindelijk toch wel bij Android belandt
Rev-anche @DeVins8 september 2018 00:50
Tegenwoordig wel weer met Nokia?
Verwijderd @DeVins8 september 2018 09:03
SailfishOS is de 'opvolger' van N9. Enkelen van onze groep bij Nokia zijn Jolla begonnen na Elop. De zaakvoerder is onze vroegere Scrum Master. Je kan SailfisOS ook op een Sony Xperia zetten. Dat werkt vrij goed. Er draait ook een Android VM op.

Ik ben inderdaad programmeur geweest aan de N9 en N900 (en 770, en N800, en 810).
sumac @Orion648 september 2018 17:08
Dit gaat om de MacOS appstore: desktop en laptop. Niet iOS, dit heeft niks met telefoons te maken.
Orion64 @sumac8 september 2018 17:11
Maar wel om een app-store. Tis nog niet zo makkelijk...
jeroen3 7 september 2018 19:26
Krijgen mensen die deze app gekocht hebben ook hun geld terug?
WhatsappHack
@jeroen37 september 2018 19:37
Wellicht als je de maker van de app te pakken weet te krijgen en ze akkoord gaan met een terugbetaling óf je zit nog binnen 14 dagen. Anders waarschijnlijk niet. Als de app überhaupt geld koste natuurlijk.
Verwijderd @WhatsappHack7 september 2018 19:41
Volgens de onderzoekers stond de app op de eerste plek in de 'poplairste betaalde apps'-categorie.

Dus ja, de app kost geld.

[Reactie gewijzigd door Verwijderd op 22 juli 2024 14:49]

7unkrat @Verwijderd7 september 2018 21:36
Apple zou deze mensen moet compenseren. Het is toch de taak van Apple om een app grondig te controleren voor het op de App Store geplaatst wordt. Kort door de bocht heb je voor iets betaald wat niet werkt of niet meer gebruikt kan worden.
5pë©ïàál_Tèkén @7unkrat8 september 2018 00:23
Vergeet niet dat een deel van de opbrengst naar Apple gaat. Je betaald als gebruiker aan de developer en aan Apple. De een liegt en de ander zit te slapen. Een dubieus verdienmodel. Dat het een erg populaire app was maakt het niet erger(populair of niet- dit hat de App store nooit mogen halen), wel pijnlijker.
iAR @7unkrat8 september 2018 15:20
Apple controleert maar gaat niet zo ver dat alle datastromen gecheckt worden.
ilaurensnl @iAR8 september 2018 22:10
Inderdaad, dat lijkt mij ook niet. Overigens als ze dat zouden checken kunnen ze een datum check inbouwen waarbij 10 dagen later het pas begint met data versturen.
theobril @WhatsappHack7 september 2018 19:43
"ls de app überhaupt geld koste natuurlijk.". Hij stond nummer 1 in de categorie "betaalde apps". Waarom is jou niet duidelijk dat het ding geld kostte, dwz waar zit de onduidelijkheid in het artikel?
FreshMaker @WhatsappHack7 september 2018 19:51
Wellicht als je de maker van de app te pakken weet te krijgen en ze akkoord gaan met een terugbetaling óf je zit nog binnen 14 dagen. Anders waarschijnlijk niet. Als de app überhaupt geld koste natuurlijk.
Helaas hebben heel veel app-makers het trucje "in-app purchase"ontdekt, al helemaal bij dit soort apps.
In-app krijg je niet terug.

Ik zal dan ook nooit (meer) zo'n app betalen, diverse 'creatieve' apps geprobeerd, die beloven na een in-app 'nog beter' te zijn ....
* FreshMaker gebruikt wel een adblocker om de balkjes onderin tegen te gaan
WhatsappHack
@FreshMaker8 september 2018 22:05
Klopt ja, ik heb daar ook de schurft aan. In-app aankopen kan je namelijk ook niet met de familie delen.
Dus krijg je zo'n waardeloze "gratis" app die echt helemaal niets doet tenzij je een in-app purchase doet.
Gelukkig zijn er nog zat apps die gewoon eenmalig centen vragen, veel beter. Die gun ik het ook sneller :P
monojack @WhatsappHack8 september 2018 07:23
Ik denk dat in dit geval Apple wel een terugbetaling kan en zal organiseren.
bakuku 7 september 2018 19:25
Ironic
renslmf23 8 september 2018 10:26
Waarom zou je anti adware op je iphone willen hebben? Ik gebruik mn hele leven al iphones en heb nog nooit adware problemen gehad.
sumac @renslmf238 september 2018 17:09
Leer eens lezen: het gaat om de macOS appstore, niet iOS. Het gaat om desktops, laptops, niet telefoons.
renslmf23 @sumac10 september 2018 08:47
ohh goed punt. Dan nog heb ik daar maar één keer last van gehad, toen ik Chrome als browser ging gebruiken. Toen meteen maar weer teruggegaan naar Safari
Deffab 9 september 2018 18:25
Tientallen iOS-apps verkopen locatiedata aan derden.
Zie Techcrunch.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq