macOS/Malware（一）趋势全家桶隐私窃取分析 ~ gandalf

macOS/Malware（一）趋势全家桶隐私窃取分析

9/12/2018 gandalf

趋势全家桶所有app信息如下：

事件曝光之后，相关产品已经从appstore下架，只剩两个wifi相关app：

好在此前已经安装过部分相关应用，故借此对其分析验证

最终分析结果汇总如下：

程序名	Bundle id	版本号	更新时间	涉及隐私	Mach-O MD5
AppManager（App Unistall）	com.trendmicro.appuninstaller	2.0.4	2016/8/25	无	dabf2ab3059de7eb1d862cdac62b74df
Dr.Cleaner	com.trendmicro.DrCleaner	3.3.6	2018/8/20	Safari、Chrome、Firefox、AppStore历史记录、装机列表	3be5e97c0baf34956dd0bd0736272d65
Dr.Unarchiver	com.trendmicro.DrUnzip	1.3.3	2018/4/20	Safari、Chrome、Firefox、AppStore历史记录、装机列表	7bfad99a2b0c72b104ffd896898dedcc
趋势安全大师（Dr. Antivirus）	com.trendmicro.DrSafety	2.3.0	2018/8/27	Safari、Chrome、Firefox、AppStore历史记录、装机列表	c2578ba280b69149b374215676f55ae7
DrBattery	com.trendmicro.DrBattery	1.1.1	2018/6/21	Chrome、Firefox、AppStore历史记录、装机列表	3ca9e88a4ab277c683ee03faf9460d94
测网速大师(Dr. WiFi)	com.trendmicro.consumer.macos.ispeedtest	1.9.0	2018/7/31	无	31e4a9d2c4b467cc708ba9073ad2d388
家庭网络卫士（Network Scanner、HouseCallForHomeNetworks）	com.trendmicro.drnmap	2.6.8	2018/8/15	无	24a334e6dbcbdf4fb514a1a362af43c8

趋势全家桶系列app在初次运行时都会显示相关隐私政策，并要求申请相关资源访问权限，当用户允许后即可通过sandbox相关接口来访问相关隐私数据，获取方式如下：

隐私	获取方式&路径
Safari历史记录	Library/Safari/History.db
Chrome历史记录	Library/Application Support/Google/Chrome
Firefox历史记录	Library/Application Support/Firefox/Profiles/%@/places.sqlite
AppStore历史记录	Library/Containers/com.apple.appstore/Data/Library/Caches/com.apple.appstore/WebKitCache/Version 11/Blobs
装机列表	/usr/sbin/system_profiler -xml SPApplicationsDataType

以下为趋势的产品隐私策略
Privacy Policy for Trend Micro Products and Services (Effective March 2018)
激活产品时会获取的信息，都是比较常规数据

部分服务所需的数据，其实比较敏感的有访问过的URL、域名、IP等信息，和可疑邮件的收发件人及附件等，当然具体都需要看实际产品功能来判断

Dr.Unarchiver产品信息如下：

通过抓包分析实际并未发现上传隐私：

然而程序代码中却明确出现Firefox、Chrome、Safari等浏览器记录数据库文件目录字符串：

通过字符串跳入代码，即读取浏览器隐私的部分代码，以下为读取chrome记录：

读取Safari历史记录：

Dr.Unarchiver里读取隐私部分主要位于-[DACollector *]模块中，从模块命名可以发现，除了3个浏览器记录，同时还读取了AppStore历史记录、设备装机列表、用户信息等。

获取设备装机列表方式通过执行“/usr/sbin/system_profiler -xml SPApplicationsDataType“指令来完成：

该指令执行后获取数据如下，包含了app的安装时间、路径、证书等信息：

另外比较有意思的地方为，程序中还有照片库的字符串及相关代码

获取隐私后上传地址如下：

趋势官网Dr. Unarchiver产品说明里明确说明会读取浏览器记录：
Dr. Unarchiver for Mac Data Collection Notice

下图为Dr. Antivirus界面：

Dr. Antivirus中获取信息模块与Dr. Unarchiver完全一样：

但相对的，多出了post回传模块，Dr. Antivirus作为反病毒软件，回传装机列表也属于正常行为：

通过动态抓包，可以确定Dr. Antivirus会回传设备装机列表：

另外会上传一个“file.zip“包，回传路径与Dr. Unarchiver分析一致：

从上传的数据包中提取出“file.zip”文件，发现已经加密：

分析该部分代码，发现使用密钥为“novirus”

解密后可以看见都是获取的浏览器记录和app列表等信息：

如下图为chrome浏览器记录：

其实甚至还单独筛出了google搜索记录：

下图为趋势官网Dr. Antivirus产品说明，里面明确申明会读取app安装历史记录、当前装机列表、浏览器记录等隐私，作为反病毒软件读取app列表能理解，但回传浏览器记录、搜索记录等隐私就过了。

DrCleaner界面如下：

DrCleaner获取隐私信息模块名与之前二者有所不同，但获取的隐私、方法名、代码基本一样：

DrCleaner同样使用“novirus”作为zip包加密密钥：

下图为趋势官网Dr. Cleaner产品说明，里面明确申明会读取浏览器记录等隐私
[Dr. Cleaner Data Collection Disclosure]https://esupport.trendmicro.com/en-us/home/pages/technical-support/1119854.aspx