Πώς το NightOwl για Mac πρόσθεσε ένα Botnet

By

Marizas Dimitris

On

Αυγ 26, 2023

Στις πρώτες μέρες του macOS Mojave το 2018, η Apple δεν είχε προσφέρει στους χρήστες έναν τρόπο αυτόματης

μεταβείτε σε λειτουργία σκούρου και φωτός

σε διαφορετικές ώρες της ημέρας. Ως συνήθως, υπήρχαν τρίτοι προγραμματιστές πρόθυμοι να πάρουν το slack. Μία από τις πιο αξιόλογες εφαρμογές νυχτερινής λειτουργίας για την επίλυση αυτού του προβλήματος ήταν το NightOwl, που κυκλοφόρησε για πρώτη φορά στα μέσα του 2018, μια μικρή εφαρμογή με ένα απλό βοηθητικό πρόγραμμα που μπορούσε να εκτελείται στο παρασκήνιο κατά την καθημερινή χρήση.

Αυτή η γιγάντια εταιρεία κατέχει σχεδόν κάθε εφαρμογή γνωριμιών

Με περισσότερες επίσημες λειτουργίες του macOS που προστέθηκαν το 2021 που επέτρεψαν τη σκοτεινή λειτουργία «Night Shift», η εφαρμογή NightOwl έμεινε ξεχασμένη και ξεχασμένη σε πολλούς παλαιότερους Mac. Λίγοι από αυτούς τους υποτιθέμενους δεκάδες χιλιάδες χρήστες πιθανότατα παρατήρησαν όταν η εφαρμογή που έτρεχαν στο φόντο του παλαιότερου M τους

Το acs αγοράστηκε από άλλη εταιρεία, ούτε όταν νωρίτερα αυτό το έτος η εταιρεία ενημέρωσε σιωπηλά την εφαρμογή σκοτεινής λειτουργίας, έτσι ώστε να πειράζει τα μηχανήματα τους για να στείλει τα δεδομένα IP τους μέσω ενός δικτύου διακομιστών επηρεαζόμενων υπολογιστών, AKA ένα botnet.

Μετά από κάποιους χρήστες

Σημειώθηκαν προβλήματα με την εφαρμογή

μετά από μια ενημέρωση Ιουνίου, ο προγραμματιστής ιστού Taylor Robinson

ανακαλύφθηκε

το

πρόβλημα

ήταν βαθύ, καθώς το πρόγραμμα ανακατεύθυνε τους χρήστες

συνδέσεις υπολογιστών χωρίς καμία ειδοποίηση. Η πραγματική σκοτεινή λειτουργία αποδείχθηκε ότι ήταν η μετατροπή μιας αξιοσέβαστης εφαρμογής Mac σε παιδική χαρά για μηχανές συγκομιδής δεδομένων.

Σε ένα email με το Gizmodo, ο Robinson διέλυσε τη δική του έρευνα για την εφαρμογή. Βρήκαν ότι το NightOwl εγκαθιστά έναν εκκινητή που μετατρέπει τον υπολογιστή των χρηστών σε ένα είδος πράκτορα botnet για δεδομένα που πωλούνται σε τρίτους. Η ενημερωμένη έκδοση 0.4.5.4 του NightOwl, που κυκλοφόρησε στις 13 Ιουνίου, εκτελεί έναν τοπικό διακομιστή μεσολάβησης HTTP χωρίς την άμεση γνώση ή τη συναίνεση των χρηστών, είπαν

. Η μόνη υπόδειξη που δίνει το NightOwl στους χρήστες ότι κάτι συμβαίνει είναι μια ειδοποίηση συναίνεσης μετά από αυτούς

πατήστε το κουμπί λήψης, λέγοντας την εφαρμογή

χρησιμοποιεί το Google Analytics για ανώνυμη παρακολούθηση και σφάλματα. Οι ρυθμίσεις botnet δεν μπορούν να απενεργοποιηθούν μέσω της εφαρμογής και για να καταργήσουν τις τροποποιήσεις που έγιναν σε Mac, οι χρήστες πρέπει να εκτελέσουν πολλές εντολές στο

Εφαρμογή Mac Terminal

να αφαιρέσουν τα υπολείμματα του κώδικα από το σύστημά τους, ανά Robinson.

Προς το παρόν δεν είναι σαφές πόσοι χρήστες επηρεάστηκαν από τον φαινομενικά κακόβουλο κώδικα, ειδικά καθώς το NightOwl έχει

αφού δεν είναι διαθέσιμο τόσο στον ιστότοπο όσο και στο κατάστημα εφαρμογών. Ο ιστότοπος NightOwl ισχυρίζεται ότι η εφαρμογή κατέβηκε περισσότερες από 141.000 φορές και ότι υπήρχαν περισσότεροι από 27.000 ενεργοί χρήστες στην εφαρμογή. Ακόμα κι αν η εφαρμογή έχασε τους περισσότερους χρήστες της μετά την εγκατάσταση του νέου λογισμικού Dark Mode από την Apple, υπήρχαν δυνητικά χιλιάδες

χρήστες που τρέχουν το NightOwl στους παλιούς τους Mac.

Μέρες αφότου ο Robinson κυκλοφόρησε την έκθεσή του αποκαλώντας την εφαρμογή ανατρεπτικό κακόβουλο λογισμικό, το NightOwl συμπεριέλαβε ένα σχόλιο σχετικά με το

ιστοσελίδα

διαβάζοντας: «Η εφαρμογή μας δεν περιέχει καμία μορφή κακόβουλου λογισμικού. Οι ανησυχίες που εγείρονται βασίζονται σε λανθασμένη αναγνώριση και εργαζόμαστε ενεργά με όλες τις μεγάλες εταιρείες προστασίας από ιούς για να διορθώσουμε άμεσα αυτήν την κατάσταση».

Δεν είναι σαφές τι εννοεί η εταιρεία με τον όρο «όλες τις μεγάλες εταιρείες προστασίας από ιούς» και πώς σχεδιάζει να το αλλάξει

εφαρμογή. Ο Robinson σημείωσε ότι η εφαρμογή φαίνεται να έχει κατασκευαστεί για να παραμείνει ανώνυμη, καθώς η σύνδεση botnet εκτελείται αναγκαστικά στον κύριο λογαριασμό χρήστη του Mac και ξεκινά όταν οι χρήστες εκκινούν τη συσκευή τους. Ο προγραμματιστής ιστού παρατήρησε πρώτος την περίεργη επισκεψιμότητα

όταν ανέλυαν την κυκλοφορία του δικτύου τους για ένα άσχετο θέμα. Όλη αυτή η κίνηση ερχόταν από τους

υπολογιστή σε τοποθεσίες που

δεν είχε ακούσει ποτέ πριν. Σίγουρα, άλλα προφανή σχήματα botnet

μπορεί να προσπαθήσει να παίξει έσοδα από διαφημίσεις

αλλά παρόλο που η πώληση δεδομένων χρήστη είναι κοινή πρακτική, οι περισσότερες εφαρμογές δεν χρειάζεται να καταφεύγουν στην αναγκαστική εγκατάσταση λογισμικού που εκκινεί κάθε φορά που ο χρήστης ανοίγει τη συσκευή τους.

Αλλά είναι σαφές ότι η εταιρεία είχε σχέδια να συμπεριλάβει αυτή τη συμπεριφορά botnet, ως ιδιοκτήτες

βάλε μια σημείωση

στη σελίδα Όρων Χρήσης του NightOwl πριν από την κυκλοφορία της πιο πρόσφατης ενημέρωσης, η οποία περιελάμβανε τη δραστηριότητα που μοιάζει με κακόβουλο λογισμικό. Το Gizmodo επικοινώνησε με τους κατόχους της εφαρμογής NightOwl πολλές φορές, αλλά δεν λάβαμε απάντηση. Ωστόσο, η ομάδα που κατέχει αυτήν τη στιγμή την εφαρμογή ανταποκρίθηκε

HowtoGeek

αναφέροντας:

«Έχουμε συνεργαστεί με μια αξιοσέβαστη υπηρεσία πληρεξούσιων κατοικιών για τη δημιουργία εσόδων από το NightOwl. Προσθέσαμε το SDK τους στο backend της εφαρμογής που επιτρέπει στους χρήστες του συνεργάτη μας να στέλνουν ορισμένα αιτήματα μέσω της διεύθυνσης IP του χρήστη NightOwl. Είναι σημαντικό να σημειωθεί ότι συλλέγουμε αποκλειστικά τις διευθύνσεις IP των χρηστών. Δεν συλλέγονται άλλα δεδομένα χρήστη. Το έχουμε αποκαλύψει στους όρους και τις προϋποθέσεις μας.

Δεδομένου του υψηλού επιπέδου ανησυχίας ορισμένων χρηστών, εργαζόμαστε για να δώσουμε στους χρήστες τη δυνατότητα να εξαιρεθούν από αυτό. Εάν καταφέρουμε να επανακυκλοφορήσουμε την εφαρμογή, είτε θα καταργήσουμε πλήρως αυτό το SDK είτε θα δώσουμε μια εύκολη επιλογή απενεργοποίησης. Ζητούμε συγγνώμη για την ταλαιπωρία και την ανησυχία που δημιουργήθηκε.”

Ο Ρόμπινσον είπε στο Gizmodo ότι δεν υπάρχει τίποτα που να το δείχνει αυτό

η εταιρεία συγκέντρωσε οτιδήποτε περισσότερο από IP μέσω του botnet. Ωστόσο, οι κάτοχοι εφαρμογών εξακολουθούσαν να προσπαθούν να καλύψουν τα ίχνη τους “όσο το δυνατόν περισσότερο”, είπε ο Robinson. Ο κάτοχος της εφαρμογής ονόμασε την υπηρεσία botnet παρασκηνίου “AutoUpdate” και το λογισμικό ανακατεύθυνσης ξεκινούσε κάθε φορά που ένας υπολογιστής με NightOwl εκκινούσε, σύμφωνα με τον Robinson.

Η εφαρμογή δεν ειδοποίησε τους χρήστες ότι είχε ενημερωθεί αυτόματα για να μετατρέψουν τους υπολογιστές τους σε πηγή για τα δικά τους δεδομένα, είπε ο Robinson

.

Η μόνη υπόδειξη ότι έγιναν αλλαγές στην εφαρμογή πέντε ετών ήταν η γλώσσα που προστέθηκε στους όρους χρήσης του NightOwl

σελίδα

πίσω τον Ιούνιο.

Το TOS λέει ότι η εφαρμογή

αναγκάζει τους υπολογιστές των χρηστών να γίνουν «πύλη» για να μοιράζονται την κυκλοφορία τους στο Διαδίκτυο με τρίτους. Η σελίδα TOS αναφέρει περαιτέρω ότι η εφαρμογή τροποποιεί τις ρυθμίσεις δικτύου της συσκευής τους και η συσκευή «λειτουργεί ως πύλη για τους πελάτες της εφαρμογής NightOwl, συμπεριλαμβανομένων εταιρειών που ειδικεύονται στην έρευνα ιστού και αγοράς, SEO, προστασία επωνυμίας, παράδοση περιεχομένου, ασφάλεια στον κυβερνοχώρο κ.λπ.».

Το πιστοποιητικό υπογραφής της εφαρμογής, απαραίτητο για να είναι διαθέσιμη στο Apple

App Store

,

έχει ανακληθεί

, και οι χρήστες δεν έχουν πλέον πρόσβαση σε αυτό. Απευθυνθήκαμε στην Apple για να δούμε αν ήταν η εταιρεία ή οι ίδιοι οι προγραμματιστές εφαρμογών που την ακύρωσαν, αλλά δεν λάβαμε απάντηση.

Εάν έχετε εγκατεστημένη την εφαρμογή NightOwl στο Mac σας, θα πρέπει να την ξεφορτωθείτε αμέσως. του Ρόμπινσον

blog

λεπτομερώς τις εντολές τερματικού που απαιτούνται για την εξαίρεση

την εφαρμογή από τη συσκευή σας.

Το NightOwl εξαγοράστηκε και στη συνέχεια μετατράπηκε σε Δούρειο Ίππο

Η αρχική εφαρμογή NightOwl δημιουργήθηκε από τον Γερμανό προγραμματιστή Benjamin Kramser το 2018. Όπως περιέγραψε μόνος του

ιστοσελίδα

, ο Kramser δημιούργησε το NightOwl επειδή υπήρχαν «προβλήματα χρηστικότητας» με τη σκοτεινή λειτουργία στο macOS Mojave. Μετά το

κυκλοφόρησε, του άρεσε αρκετά θετικά άρθρα και

βίντεο

στο YouTube που επαινούσαν την εφαρμογή του.

Η έκδοση 0.3.0 του NightOwl που κυκλοφόρησε στα τέλη του 2020 υπογράφηκε από τον Kramser ως τον κύριο προγραμματιστή. Δύο χρόνια αργότερα, μια νέα έκδοση του 0.3.0 κυκλοφόρησε στο App Store. Σύμφωνα με στοιχεία που κοινοποίησε ο Robinson, αυτή η νέα έκδοση της εφαρμογής υπογράφηκε από άλλο άτομο, τον Munir Ahmed. Αυτή η έκδοση της εφαρμογής πρόσθεσε ένα νέο backend SDK, αλλά δεν είχε ακόμα το botnet που σημείωσε αργότερα ο Robinson.

Το πιστοποιητικό της εφαρμογής NightOwl έχει ανακληθεί, πράγμα που σημαίνει ότι οι χρήστες δεν μπορούν πλέον να το ανοίξουν. Τούτου λεχθέντος, θα μπορούσατε να διαγράψετε την εφαρμογή από το Mac σας το συντομότερο δυνατό.

Στιγμιότυπο οθόνης

:

Τέιλορ Ρόμπινσον

Τον Νοέμβριο του 2022, μια εταιρεία καταχωρήθηκε δημόσια ως

TPE.FYI LLC

απέκτησε την εφαρμογή, σύμφωνα με ένα μήνυμα του Kramser που δημοσιεύτηκε στον ιστότοπό του.

Η εταιρεία δημοσιοποιήθηκε από την Keeping Tempo.

Σύμφωνα με

υπάρχουσες εγγραφές

,

ιδρύθηκε από αρκετούς πρώην προγραμματιστές λογισμικού πωλήσεων με ευγενή στόχο τη δημιουργία μιας εφαρμογής που θα διαταράσσει το

Οι εταιρείες μονοπωλίου στις

τιμές

των εισιτηρίων όπως η Ticketmaster έχουν στη μουσική βιομηχανία

. Επικεφαλής της Keeping Tempo ήταν ο διευθύνων σύμβουλος Jarod Stirling και η έδρα της ήταν στο Ώστιν του Τέξας. Ωστόσο, οι πιο πρόσφατες πληροφορίες για την LLC ήταν ότι έμεινε ανενεργή νωρίτερα αυτό το έτος αφού απέτυχε να υποβάλει τη φορολογική δήλωση δικαιόχρησης, σύμφωνα με

δημόσια διαθέσιμα δεδομένα

στο OpenCorporates.

Δεν είναι σαφές εάν το Keeping Tempo είναι πλήρως ανενεργό και ποια επιχείρηση

επί του παρόντος λειτουργεί με αυτό το όνομα.

Βρέθηκαν χρήστες

το όνομα “TPE-FYI, LLC” συμπεριλήφθηκε στα αρχεία ως μέρος της ενημέρωσης του Ιουνίου NightOwl που καθιέρωσε το botnet που τεκμηριώθηκε από τον Robinson

. Παρά τους νέους ιδιοκτήτες, ο ιστότοπος Nightowl εξακολουθεί να περιλαμβάνει αποσπάσματα από τον Kramser σχετικά με την ανάπτυξη της εφαρμογής, καθώς και συνδέσμους σε άρθρα από το 2018 που εξυμνούσαν αρχικά τα χαρακτηριστικά του NightOwl.

Ένας χρήστης του NightOwl ρώτησε τον Kramser για τις δραστηριότητες του botnet στο δικό του

Κελάδημα

πριν καταργηθεί η εφαρμογή. Ο προγραμματιστής είπε ότι δεν είχε γνώση για τις αλλαγές στην εφαρμογή και πρόσθεσε ότι σχεδίαζε να ρωτήσει την ιδιοκτήτρια εταιρεία για τις δραστηριότητες της NightOwl. Το Gizmodo επικοινώνησε με τον Kramser μέσω του Twitter DM και ο προγραμματιστής επανέλαβε την ίδια δήλωση που δημοσίευσε στον ιστότοπό του. Υποστήριξε στον ιστότοπό του ότι πούλησε την εταιρεία πέρυσι «λόγω χρονικών περιορισμών» για τη διατήρηση της λειτουργίας της εφαρμογής. Δεν απάντησε στις ερωτήσεις του Gizmodo σχετικά με το ποιος κατέχει αυτήν τη στιγμή την εφαρμογή NightOwl.

“Αυτή η απόφαση ελήφθη με την κατανόηση ότι θα εισαχθούν νέες λειτουργίες (Pro) και ένα

μοντέλο

συνδρομής”, δήλωσε ο Kramser. «Δυστυχώς, η «TPE.FYI LLC» επέλεξε να δημιουργεί έσοδα από την εφαρμογή ενσωματώνοντας ένα SDK τρίτου μέρους. Αυτή η απόφαση δεν σχετίζεται με εμένα με κανέναν τρόπο και δεν την υποστηρίζω σε καμία μορφή».

Ακόμα κι αν ο Kramser δεν γνώριζε πραγματικά την κακή πρόθεση της αγοραστικής εταιρείας, ο Robinson είπε ότι υπάρχει ακόμα καλός λόγος να είμαστε δύσπιστοι σχετικά με την εξαγορά της εφαρμογής.

«Πρέπει να ξέρετε ότι όταν μια σκοτεινή εταιρεία προσφέρεται να αγοράσει την εφαρμογή σας, δεν πρόκειται να χρησιμοποιήσει τους εντελώς θετικούς για τον χρήστη τρόπους για να ανακτήσει την επένδυσή της, αλλά αυτό δεν τον κάνει ούτε κακό, όπως μερικοί άνθρωποι στα social λένε τα μέσα ενημέρωσης», είπε ο τεχνικός του Διαδικτύου.

Πώς καταστρέφονται οι παλιές εφαρμογές;

Δεν είναι η πρώτη φορά που οι εφαρμογές που φαίνονται αξιόπιστες λειτουργούν ως Δούρειοι Ίπποι αφού έχουν ήδη εγκατασταθεί στους υπολογιστές των χρηστών. Επιστρέψτε σε οποιοδήποτε έτος και θα βρείτε νόμιμες εφαρμογές που κάνουν κατάχρηση της εμπιστοσύνης των καταναλωτών. Πίσω στο 2013, το δημοφιλές

Η πιο φωτεινή εφαρμογή φακού

μήνυσε η Ομοσπονδιακή Επιτροπή Εμπορίου μετά

φέρεται να μεταδίδει δεδομένα τοποθεσίας χρηστών και πληροφορίες συσκευής σε τρίτους

.

Ο προγραμματιστής τελικά συμβιβάστηκε με την FTC για ένα άγνωστο ποσό.

Οι προγραμματιστές λογισμικού ανακάλυψαν το

Κομψή επέκταση προγράμματος περιήγησης

άρχισε να καταγράφει όλες τις επισκέψεις των χρηστών του στον ιστότοπο μετά την αγορά της εφαρμογής

από SimilarWeb το 2017. Μια άλλη επέκταση,

Η Μεγάλη Ζαρτήλα

επισημάνθηκε ως κακόβουλο λογισμικό μετά από αυτό

πωλήθηκε σε άγνωστη ομάδα

το 2020. Όλες αυτές οι εφαρμογές είχαν εκατομμύρια χρήστες πριν από οποιονδήποτε

αναγνώρισε τα σημάδια της εισβολής.

Σε αυτές τις περιπτώσεις, οι σκιώδεις προσπάθειες των νέων κατόχων εφαρμογών ήταν όλες να υποστηρίξουν μια πιο παρεμβατική έκδοση της συγκομιδής

δεδομένα

το οποίο μπορεί να πωληθεί σε τρίτους για μια ημέρα πληρωμής χωρίς κόπο, χωρίς ηθική.

Η ανάπτυξη εφαρμογών είναι δύσκολη και δαπανηρή, και για μεμονωμένους δημιουργούς, είναι δελεαστικό να πουλήσουν όταν έρθει η ευκαιρία.

Ο Robinson είπε ότι έχουν πάει εκεί στο παρελθόν, έχοντας αναπτύξει μια εφαρμογή δωρεάν και είχαν βιώσει πόσο δαπανηρή είναι.

«Γιατί να βάζεις ώρες σε κάτι από το οποίο δεν παίρνεις κάτι, όταν μπορείς να το πουλήσεις σε κάποιον που θα σου πάρει αυτό το φορτίο από τα χέρια σου, σωστά;» είπε ο Ρόμπινσον. «Δεν είμαι σίγουρος για την οικονομική κατάσταση ορισμένων από αυτούς τους προγραμματιστές, αλλά αν δυσκολεύεστε να πληρώνετε ενοίκιο κάθε μήνα και σας προσφέρουν πέντε νούμερα το μήνα, θα πάρετε τα χρήματα και θα θυσιάσετε ένα λίγο από το ήθος σου».

gizmodo.com

Παρόμοια άρθρα