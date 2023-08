Au début de macOS Mojave en 2018, Apple n’avait pas proposé aux utilisateurs un moyen de télécharger automatiquement passer en mode sombre et clair à différents moments de la journée. Comme d’habitude, des développeurs tiers étaient désireux de prendre le relais. L’une des applications en mode nuit les plus appréciées pour résoudre ce problème était NightOwl, lancée pour la première fois au milieu de 2018, une petite application dotée d’un utilitaire simple qui pouvait s’exécuter en arrière-plan lors d’une utilisation quotidienne.

Avec davantage de fonctionnalités officielles macOS ajoutées en 2021 qui ont activé le mode sombre « Night Shift », l’application NightOwl a été abandonnée et oubliée sur de nombreux Mac plus anciens. Peu de ces supposés dizaines de milliers d’utilisateurs ont probablement remarqué que l’application qu’ils exécutaient en arrière-plan de leur ancien M acs a été acheté par une autre société, ni lorsque, plus tôt cette année, cette société a mis à jour silencieusement l’application en mode sombre afin qu’elle détourne ses machines afin d’envoyer leurs données IP via un réseau de serveurs d’ordinateurs concernés, AKA un botnet.

Après certains utilisateurs problèmes notés avec l’application après une mise à jour de juin, le développeur Web Taylor Robinson découvert le problème était profond, car le programme redirigeait les utilisateurs vers connexions des ordinateurs sans aucune notification. Le véritable mode sombre s’est avéré être la transformation d’une application Mac respectable en un terrain de jeu pour les collecteurs de données.

Dans un e-mail avec Gizmodo, Robinson a détaillé sa propre enquête sur l’application. Ils ont découvert que NightOwl installe un lanceur qui transforme l’ordinateur des utilisateurs en une sorte d’agent botnet pour les données vendues à des tiers. La version 0.4.5.4 mise à jour de NightOwl, publiée le 13 juin, exécute un proxy HTTP local à l’insu ou sans le consentement direct des utilisateurs, ont-ils déclaré. . Le seul indice que NightOwl donne aux utilisateurs indiquant que quelque chose se prépare est un avis de consentement après avoir appuyez sur le bouton de téléchargement en disant l’application utilise Google Analytics pour le suivi anonymisé et les bugs. Les paramètres du botnet ne peuvent pas être désactivés via l’application, et pour supprimer les modifications apportées à un Mac, les utilisateurs doivent exécuter plusieurs commandes dans le Application Terminal Mac pour extraire les vestiges du code de leur système, selon Robinson.

On ne sait pas encore combien d’utilisateurs ont été affectés par ce code apparemment malveillant, d’autant plus que NightOwl l’a fait. depuis, il est devenu indisponible sur le site Web et sur l’App Store. Le site NightOwl affirme que l’application a été téléchargée plus de 141 000 fois et qu’il y avait plus de 27 000 utilisateurs actifs sur l’application. Même si l’application a perdu la plupart de ses utilisateurs après qu’Apple ait installé le nouveau logiciel Dark Mode, il y en avait potentiellement des milliers. les utilisateurs exécutant NightOwl sur leurs anciens Mac.

Quelques jours après que Robinson ait publié son rapport qualifiant l’application de malware subversif, NightOwl a inclus un commentaire sur son site lecture : « Notre application ne contient aucune forme de malware. Les préoccupations soulevées reposent sur une erreur d’identification et nous travaillons activement avec toutes les principales sociétés d’antivirus pour remédier rapidement à cette situation.

On ne sait pas exactement ce que l’entreprise entend par « tous les principaux éditeurs d’antivirus » et comment elle envisage de modifier son approche. application. Robinson a noté que l’application semble spécialement conçue pour rester anonyme, car la connexion au botnet s’exécute de force sur le compte utilisateur principal du Mac et se lance lorsque les utilisateurs démarrent leur appareil. Le développeur Web a d’abord remarqué le trafic étrange alors qu’ils analysaient leur trafic réseau pour un sujet sans rapport. Tout ce trafic venait de leur ordinateur vers des sites qu’ils n’en avait jamais entendu parler auparavant. Bien sûr, d’autres schémas de botnet évidents pourrait essayer de générer des revenus publicitairesmais même si la vente de données utilisateur est une pratique courante, la plupart des applications n’ont pas besoin de recourir à l’installation forcée d’un logiciel qui démarre à chaque fois qu’un appareil ouvre son appareil.

Mais il est clair que l’entreprise envisageait d’inclure ce comportement de botnet, car les propriétaires mettre une note sur la page Conditions d’utilisation de NightOwl avant de publier la dernière mise à jour, qui incluait l’activité de type malware. Gizmodo a contacté les propriétaires de l’application NightOwl à plusieurs reprises, mais nous n’avons reçu aucune réponse. Cependant, le groupe qui possède actuellement l’application a répondu à CommentGeekdéclarant :

«Nous nous sommes associés à un service proxy résidentiel respecté pour monétiser NightOwl. Nous avons ajouté leur SDK au backend de l’application qui permet aux utilisateurs de notre partenaire d’envoyer certaines demandes via l’adresse IP de l’utilisateur NightOwl. Il est important de noter que nous collectons uniquement les adresses IP des utilisateurs. Aucune autre donnée utilisateur n’est collectée. Nous l’avons divulgué dans nos conditions générales. Compte tenu du niveau élevé d’inquiétude de certains utilisateurs, nous nous efforçons de leur donner la possibilité de se désinscrire. Si nous parvenons à rééditer l’application, nous supprimerons complètement ce SDK ou proposerons une option simple de désactivation. Nous nous excusons pour la gêne occasionnée et les inquiétudes créées.

Robinson a dit à Gizmodo que rien ne prouve cela l’entreprise a collecté autre chose que des adresses IP via le botnet. Cependant, les propriétaires de l’application essayaient toujours de brouiller les pistes « autant que possible », a déclaré Robinson. Le propriétaire de l’application a nommé le service de botnet en arrière-plan « AutoUpdate » et le logiciel de redirection s’est lancé chaque fois qu’un ordinateur avec NightOwl démarrait, selon Robinson.

L’application n’a pas informé les utilisateurs qu’elle avait été mise à jour automatiquement pour transformer leur ordinateur en une source de données, a déclaré Robinson. . Le seul indice que des modifications ont été apportées à l’application vieille de cinq ans était l’ajout d’un langage aux conditions d’utilisation de NightOwl. page de retour en juin. Le TOS indique que l’application oblige les ordinateurs des utilisateurs à devenir une « passerelle » pour partager leur trafic Internet avec des tiers. La page TOS indique en outre que l’application modifie les paramètres réseau de leur appareil et que l’appareil « agit comme une passerelle pour les clients de l’application NightOwl, y compris les sociétés spécialisées dans les études Web et de marché, le référencement, la protection de la marque, la diffusion de contenu, la cybersécurité, etc. »

Le certificat de signature de l’application, nécessaire pour la rendre disponible dans l’App Store d’Apple, a été révoqué , et les utilisateurs ne peuvent plus y accéder. Nous avons contacté Apple pour voir si c’était l’entreprise ou les développeurs d’applications eux-mêmes qui l’avaient révoqué, mais nous n’avons pas eu de réponse.

Si l’application NightOwl est installée sur votre Mac, vous devez vous en débarrasser immédiatement. Robinson Blog détaille les commandes du terminal nécessaires pour exciser l’application depuis votre appareil.

NightOwl a été racheté, puis transformé en cheval de Troie

L’application NightOwl originale a été créée par le développeur allemand Benjamin Kramser en 2018. Comme il l’a décrit lui-même site, Kramser a créé NightOwl car il y avait des « problèmes d’utilisabilité » avec le mode sombre sur macOS Mojave. Après le sortie, il a apprécié plusieurs articles positifs et vidéos YouTube faisant l’éloge de son application.

La version 0.3.0 de NightOwl publiée fin 2020 a été signée par Kramser en tant que développeur principal. Deux ans plus tard, une nouvelle version 0.3.0 est arrivée sur l’App Store. Selon les données partagées par Robinson, cette nouvelle version de l’application a plutôt été signée par une autre personne, Munir Ahmed. Cette version de l’application ajoutait un nouveau SDK backend, mais il manquait toujours le botnet que Robinson a noté plus tard.

Le certificat de l’application NightOwl a été révoqué, ce qui signifie que les utilisateurs ne peuvent plus l’ouvrir. Cela étant dit, vous pouvez supprimer l’application de votre Mac dès que possible. Capture d’écran : Taylor Robinson

En novembre 2022, une société enregistrée publiquement sous le nom de TPE.FYI LLC a acquis l’application, selon un message de Kramser publié sur son site. L’entreprise s’est lancée publiquement sous le nom de Keeping Tempo. Selon enregistrements existants, il a été créé par plusieurs anciens développeurs de logiciels commerciaux dans le noble objectif de créer une application pour perturber le marché. des sociétés de monopole sur le prix des billets comme Ticketmaster ont sur l’industrie de la musique. Keeping Tempo était dirigé par le PDG Jarod Stirling et avait son siège social à Austin, au Texas. Cependant, les dernières informations sur la LLC indiquent qu’elle est devenue inactive plus tôt cette année après avoir omis de produire sa déclaration de taxe de franchise, selon données accessibles au public sur OpenCorporates.

On ne sait pas si Keeping Tempo a complètement disparu et quelle entreprise opère actuellement sous ce nom. Utilisateurs trouvés le nom « TPE-FYI, LLC » a été inclus dans les fichiers dans le cadre de la mise à jour de juin NightOwl qui a établi le botnet documenté par Robinson . Malgré les nouveaux propriétaires, le site Nightowl comprend toujours des citations de Kramser sur le développement de l’application ainsi que des liens vers des articles de 2018 qui vantaient à l’origine les fonctionnalités de NightOwl.

Un utilisateur de NightOwl a interrogé Kramser sur les activités du botnet sur son Twitter avant la suppression de l’application. Le développeur a déclaré qu’il n’avait aucune connaissance des modifications apportées à l’application et a ajouté qu’il prévoyait d’interroger la société propriétaire sur les activités de NightOwl. Gizmodo a contacté Kramser via Twitter DM et le développeur a réitéré la même déclaration qu’il a publiée sur son site Web. Il a affirmé sur son site Internet qu’il avait vendu l’entreprise l’année dernière « en raison de contraintes de temps » pour maintenir l’application opérationnelle. Il n’a pas répondu aux questions de Gizmodo sur qui possède actuellement l’application NightOwl.

« Cette décision a été prise étant entendu que de nouvelles fonctionnalités (Pro) et un modèle d’abonnement seraient introduits », a déclaré Kramser. « Malheureusement, « TPE.FYI LLC » a choisi de monétiser l’application en intégrant un SDK tiers. Cette décision ne me concerne en aucune façon et je ne l’approuve sous aucune forme.

Même si Kramser n’avait vraiment aucune connaissance des mauvaises intentions de la société acheteuse, Robinson a déclaré qu’il y avait encore de bonnes raisons d’être sceptique quant au rachat de l’application.

« Vous devez savoir que lorsqu’une entreprise louche propose d’acheter votre application, elle n’utilisera pas les moyens entièrement positifs pour l’utilisateur de récupérer son investissement, mais cela ne fait pas non plus de lui un méchant, comme le disent certaines personnes sur les réseaux sociaux. disent les médias », a déclaré le détective Internet.

Comment les anciennes applications sont-elles corrompues ?

Ce n’est pas la première fois que des applications apparemment fiables fonctionnent comme des chevaux de Troie après avoir déjà été installées sur les ordinateurs des utilisateurs. Revenez sur n’importe quelle année et vous constaterez que des applications apparemment légitimes abusent de la confiance des consommateurs. En 2013, le populaire Application de lampe de poche la plus brillante a été poursuivi par la Federal Trade Commission après aurait transmis les données de localisation des utilisateurs et les informations sur les appareils à des tiers. Le développeur a finalement réglé avec la FTC un montant non divulgué.

Les développeurs de logiciels ont découvert le Extension de navigateur élégante a commencé à enregistrer toutes les visites du site Web de ses utilisateurs après l’achat de l’application par SimilarWeb en 2017. Une autre extension, La grande bretellea été signalé comme malware après avoir été vendu à un groupe inconnu en 2020. Toutes ces applications comptaient des millions d’utilisateurs avant quiconque reconnu les signes d’intrusion. Dans ces cas-là, les efforts louches des nouveaux propriétaires d’applications visaient tous à soutenir une version plus intrusive de la récolte. données qui peut être vendu à des tiers pour un salaire sans effort et sans morale.

Le développement d’applications est à la fois difficile et coûteux, et pour les créateurs individuels, il est tentant de vendre lorsque l’occasion se présente. Robinson a déclaré qu’ils étaient déjà allés là-bas, après avoir développé une application gratuite et constaté à quel point cela coûtait cher.

« Pourquoi consacrer des heures à quelque chose dont vous n’obtenez rien quand vous pouvez le vendre à quelqu’un qui vous déchargera de cette charge, n’est-ce pas ? » dit Robinson. « Je ne suis pas sûr de la situation financière de certains de ces promoteurs, mais si vous avez du mal à payer votre loyer chaque mois et qu’on vous propose des offres à cinq chiffres par mois, vous allez prendre l’argent et sacrifier une somme d’argent. un peu de votre moralité.