Анонимность в сети

DropBox шпионит за пользователями MacOS

Если у вас установлен Dropbox, загляните в Системные настройкиЗащита и безопасностьКонфиденциальность.


TL;DR: Dropbox

  • Показывает фальшивое системное окно macOS, чтобы получить пароль пользователя
  • Добавляет себя в привилегированные процессы без обязательного для всех разрешения
  • Ставит в систему backdoor, чтобы восстановить разрешения, если их явно отберут
  • Эти разрешения толком не использует <irony/>

Заметили что-нибудь необычное на этой картинке? Задумывались когда-нибудь, как оно здесь очутилось? Подумали — может вы добавили его сами, когда Dropbox попросил разрешения управлять компьютером?
Нет, ваша память вас не подводит. Вы не помните, как разрешали это, потому что Dropbox никогда не показывал вам диалог, спрашивающий разрешения — вот такой:

Это единственная официально разрешённая возможность попасть в этот список — но Dropbox никогда не спрашивал у вас этого разрешения. Позже я расскажу, почему это важно, но сейчас проведите удивительный эксперимент: попробуйте удалить его.
«Легко!» — скажете вы. Способ всем известен: нажать «Замок», выделить строчку с Dropbox, удалить его кнопкой «—». И вот, смотрите: его больше нет, верно?
Неверно. У него есть дурная привычка каждый раз возвращаться. Попробуйте заново зайти в систему (или перезапустить программу), и Dropbox снова добавит себя в список разрешённых приложений и галочка напротив него будет установлена. Это настоящее волшебство!
Если же вам не хочется пробовать, посмотрите, как я пробую отключить эту возможность у Dropbox:

Тут возникает два вопроса:

  • Почему это важно?
  • Можно ли как-то снять эту галочку, но продолжить пользоваться Dropbox?

Почему это важно?

Это важно как минимум по трём причинам:
Первая, и самая главная: потому что Dropbox даже не просил разрешения управлять вашим компьютером. «Управлять компьютером» в macOS значит нажимать на кнопки, пункты меню, запускать программы, удалять файлы… Это угроза безопасности, и поэтому программы должны требовать ввода пароля и явного разрешения на попадание в тот список.

И «объяснение» от Dropbox не объясняет, почему они делают этот трюк (англ.)

Но, например, вы доверяете Dropbox, и считаете, что они — большая компания, которая не хочет огорчать своих пользователей и не будет делать вещей, не достойных своего честного имени?
Если вы рассуждаете так, вы допускаете две ошибки:

  • Чем больше компания, тем меньше она страдает от расстроенных пользователей. Всё просто: если 1000 человек прочитают эту статью и перестанет пользоваться сервисом (на Хабре их пока 100 человек — прим. пер.), по большому счёту, ничего не изменится. Глупо считать, что большая компания не пошлёт вас к чёрту от того, что боится потерять всех клиентов и бизнес. Ещё глупее — если вспомнить, что вы у них на бесплатном тарифе. (Вот(англ.) подробный разбор, почему большие компании редко задумываются об этичности своих действий).
  • Что важнее, у вас уже есть серьёзное доказательство того, что Dropbox-у нельзя доверять: он только что получил контроль над системой в обход защиты macOS, и не спрашивая вас. Кроме того, как вы увидели в том удивительном эксперименте, даже когда вы явно отнимаете у него контроль, он игнорирует ваше решение и восстанавливает его. Как он это делает — мы скоро узнаем. (Есть и другие серьёзные причины не верить Dropbox — например, эта — прим. пер.)

Есть и вторая проблема с этим трюком Dropbox-а.
Представим на минуту, что разработчики не желают зла и не хотят сделать с вами ничего плохого. Но, тем не менее, возможность этого у процесса Dropbox есть. Значит, злоумышленник может найти ошибку в коде Dropbox и использовать её, чтобы захватить контроль над вашим компьютером. Пока это лишь потенциальная угроза; но, как и все угрозы, она станет реальной, как только какой-нибудь злоумышленник использует её.
Вся суть системы безопасности ОС — и главная задача системы разрешений macOS — в том, что программа не должна иметь больше полномочий, чем ей требуется для выполнения задачи. Dropbox же либо хранит пароль администратора в явном виде (это очень скверно), либо запускает свой процесс с привилегиями суперпользователя (не менее скверно) — иначе ему пришлось бы спрашивать пароль каждый раз, когда вы удаляете его из разрешённых.
По-моему, эта мера не только скрытная (так как я не давал явного разрешения на такое), но ещё и чрезмерная.
И это третья проблема: для нормальной работы Dropbox-у не нужны ни права суперпользователя, ни доступ к Accesibility API. (Как предположили в комментариях к оригинальной статье(англ.), Dropbox таким образом хочет знать, когда вы делаете снимок экрана; но комментаторы Хабра подтверждают, что публикация снимков работает — видимо, цивилизованным способом, через FSEvents — прим. пер.).

[ad name=»Responbl»]
Я провёл длительный тест, чтобы убедиться в его работоспособности, используя его на 3 Маках и Айфоне в течение 10 месяцев, и не обнаружил никаких проблем. Я не мог проверить все возможности службы — я использовал Dropbox обычным образом на обычной OS X. Повторю: не было никаких проблем, и, даже если бы они возникли, тогда бы Dropbox и должен был спросить дополнительные разрешения — как все остальные программы — и уважать моё решение, если я это разрешение отниму.
Кроме того, я сообщил о своих находках службе Apple Product Security, и ждал, смогут ли они заставить разработчиков изменить поведение программы (пока безрезультатно)
Тогда у нас остался только один вопрос:

Как всё это отключить, но сохранить Dropbox.app?

(В комментариях сообщают, что удаление Dropbox обычным методом не удаляет backdoor — прим. пер.)

  • Остановите Dropbox (Значок Dropbox в строке меню → контекстное меню → «Шестерёнка»Закрыть Dropbox)
  • Удалите каталог /Library/DropboxHelperTools
  • Удалите Dropbox из Защита и безопасностьУниверсальный доступ
  • Завершите сеанс и заново войдите в систему.
  • Попробуйте запустить, и увидите это окно:

Как мы уже выяснили, это диалоговое окно врёт (всё ещё верите большой серьёзной фирме?), когда говорит, что Dropbox не будет правильно функционировать; но главный обман в том, что это не то окно, которое должна показывать программа, желающая доступ к Accessibility API. На самом деле, даже с паролем пользователя она не должна попадать в разрешённые в Универсальный доступ. Похоже, ребятам из Dropbox платят зарплату за придумывание хаков для macOS.
И тут небольшая загвоздка: если вы не дадите программе свой пароль, она не попадёт в Универсальный доступ, и будет работать без него — так же хорошо, как раньше. Но при каждом своём запуске она будет снова и снова требовать ваш пароль.

[ad name=»Responbl»]
Теперь вам нужно будет смотреть, кто просит пароль, и не давать его какой попало программе. Конечно, вы и без моих советов не должны так делать — но это диалоговое окно выглядит почти как настоящее системное окно самой macOS — и, возможно, уже приучило вас писать в него всё, что просят.
Этот запрос каждый раз неприятен, но не так неприятен, как программа, хакнувшая ваш Мак.
Дополнение: подробный разбор технологии, которую использует Dropbox для внедрения в систему: Discovering How Dropbox Hack’s Your Mac(англ.)

 

Click to rate this post!
[Total: 10 Average: 3.6]
cryptoworld

Специалист в области кибер-безопасности. Работал в ведущих компаниях занимающихся защитой и аналитикой компьютерных угроз. Цель данного блога - простым языком рассказать о сложных моментах защиты IT инфраструктур и сетей.

Recent Posts

Лучший адаптер беспроводной сети для взлома Wi-Fi

Чтобы взломать сеть Wi-Fi с помощью Kali Linux, вам нужна беспроводная карта, поддерживающая режим мониторинга…

11 месяцев ago

Как пользоваться инструментом FFmpeg

Работа с консолью считается более эффективной, чем работа с графическим интерфейсом по нескольким причинам.Во-первых, ввод…

11 месяцев ago

Как создать собственный VPN-сервис

Конечно, вы также можете приобрести подписку на соответствующую услугу, но наличие SSH-доступа к компьютеру с…

11 месяцев ago

ChatGPT против HIX Chat: какой чат-бот с искусственным интеллектом лучше?

С тех пор как ChatGPT вышел на арену, возросла потребность в поддержке чата на базе…

11 месяцев ago

Разведка по Wi-Fi и GPS с помощью Sparrow-wifi

Если вы когда-нибудь окажетесь в ситуации, когда вам нужно взглянуть на спектр беспроводной связи, будь…

11 месяцев ago

Как обнаружить угрозы в памяти

Elastic Security стремится превзойти противников в инновациях и обеспечить защиту от новейших технологий злоумышленников. В…

11 месяцев ago