Ainda ontem publiquei sobre o Adware Doctor, o anti-malware mais popular da App Store era, afinal, um valente cavalo de Tróia criado para recolher ficheiros dos computadores onde era instalado. Hoje é o dia da Trend Micro, sim a grande “global leader in enterprise data security and cybersecurity solutions” está agora envolvida num escândalo semelhante, quer dizer, igual.
Como alguns sites hoje reportaram as aplicações Dr. Cleaner, Dr. Antivirus, Open Any Files entre outras foram encontradas a…
Several security researchers have independently found different apps that are collecting sensitive user data and uploading it to servers controlled by the developer.
E agora perguntam… o que tem a prestigiada empresa Trend Micro a ver com isto tudo? Bem, basta abrirem o site do Dr. Cleaner para perceberem:
Pode ser um impostor? Vamos verificar então os certificados SSL de ambos os sites:
Oops, parece que o certificado do site do Dr. Cleaner é emitido pela mesma empresa Affirmtrust (uma subsidiária da Trend Micro) e para a organização, a própria Trend Micro.
Os mais céticos dirão “só podem ter roubado um certificado, é um impostor!”, analisemos melhor o conteúdo do site do Dr. Cleaner, com particular atenção ao rodapé:
Vamos passar agora ao site oficial da própria Trend Micro:
Mas pode ser só alguma publicidade? Não! Eles próprios admitem que são os criadores do Dr. Cleaner, tornando o website anterior e todas as aplicações lá apresentadas efetivamente produtos da Trend Micro:
Vou citar novamente:
Trend Micro is happy to provide a free utility app to Apple Mac users called Dr. Cleaner.
Portanto, acabamos de apanhar uma das grandes empresas de soluções de segurança a abusar dos seus utilizadores. Vejamos agora o que estava a ser comprometido e como.
Utilizando a aplicação Open Any Files (também da Trend Micro) como exemplo, o blog da Malwarebytes descreve o seguinte:
typical behavior is that, (…) promotes some antivirus software for scanning the file or the computer, often telling the user that they might be unable to open the file because they are infected.
Mas qual será o anti-virus promovido?
Obviamente que é o próprio Anti-Virus da Trend Micro 🙂
Para onde é que a aplicação envia os dados recolhido?
It was uploading a file named file.zip to the following URL:
update.appletuner.trendmicro.com/1/upload/search_keywords/
This file contained the following data: Complete Safari browsing and search history; Complete Chrome browsing and search history; Complete Firefox browsing and search history; Complete App Store browsing history
Afinal os produtos “grátis” da Trend Micro são grátis até conseguirem lucrar com o nosso histórico de navegação, seja para fins publicitários (o fim mais provável) ou para “melhorar os produtos da Trend Micro”.
Independentemente da utilização final dos dados, é vergonhoso uma empresa como a Trend Micro agir desta forma.