[MàJ] Intego : un spyware OSX/OpinionSpy distribué avec des applications
Intego a publié aujourd'hui une note de sécurité faisant état de la découverte d'un spyware baptisé OSX/OpinionSpy. Le risque est qualifié, et pour cause : alors que jusqu'ici les menaces venaient essentiellement de logiciels piratés et modifiés disponibles sur les réseaux P2P, elle toucherait cette fois des applications et écrans de veille disponibles sur des sites comme MacUpdate ou VersionTracker.
La réputation de ces sites n'est pas à mettre en cause : les applications et écrans de veille en eux-mêmes sont « sains », mais le spyware est téléchargé pendant le processus d'installation (l'installeur, lui, est vérolé). Il s'identifie comme un programme d'« étude de marché », prétendant « récolter des informations sur la navigation et les achats des utilisateurs habituellement utilisées dans des études de marche ».
Comme il demande le mot de passe administrateur, il s'exécute en tant que root (et se relance automatiquement), et peut donc accéder à tout fichier stocké sur le Mac. Elle analyse les fichiers, consommant du temps processeur, ainsi que le réseau, consommant de la bande passante. Elle injecte du code dans Safari, Firefox et iChat, et envoie des données diverses comme des adresses courriel, des en-têtes de message iChat, etc.
L'application collecte donc bien des données, mais pas celle qu'elle prétendait, et représente donc un possible problème pour la vie privée des utilisateurs. Evidemment, Intego indique que VirusBarrier X5 et X6 sont capables de repérer et neutraliser OSX/OpinionSpy, dont il existe déjà une variante sous Windows depuis quelques années.
[MàJ@19h20] Intego a commencé à publier les applications et écrans de veille contenant ce spyware. Tous les écrans de veille installant ce spyware ont été créés par 7art-screensavers :
- Secret Land ScreenSaver v.2.8
- Color Therapy Clock ScreenSaver v.2.8
- 7art Foliage Clock ScreenSaver v.2.8
- Nature Harmony Clock ScreenSaver v.2.8
- Fiesta Clock ScreenSaver v.2.8
- Fractal Sun Clock ScreenSaver v.2.8
- Full Moon Clock ScreenSaver v.2.8
- Sky Flight Clock ScreenSaver v.2.8
- Sunny Bubbles Clock ScreenSaver v.2.9
- Everlasting Flowering Clock ScreenSaver v.2.8
- Magic Forest Clock ScreenSaver v.2.8
- Freezelight Clock ScreenSaver v.2.9
- Precious Stone Clock ScreenSaver v.2.8
- Silver Snow Clock ScreenSaver v.2.8
- Water Color Clock ScreenSaver v.2.8
- Love Dance Clock ScreenSaver v.2.8
- Galaxy Rhythm Clock ScreenSaver v.2.8
- 7art Eternal Love Clock ScreenSaver v.2.8
- Fire Element Clock ScreenSaver v.2.8
- Water Element Clock ScreenSaver v.2.8
- Emerald Clock ScreenSaver v.2.8
- Radiating Clock ScreenSaver v.2.8
- Rocket Clock ScreenSaver v.2.8
- Serenity Clock ScreenSaver v.2.8
- Gravity Free Clock ScreenSaver v.2.8
- Crystal Clock ScreenSaver v.2.6
- One World Clock ScreenSaver v.2.8
- Sky Watch ScreenSaver v.2.8
- Lighthouse Clock ScreenSaver v.2.8
Pour le moment, seule une application est affectée, MishInc FLV to MP3. Intego devrait tenir cette liste à jour sur son blog.
La réputation de ces sites n'est pas à mettre en cause : les applications et écrans de veille en eux-mêmes sont « sains », mais le spyware est téléchargé pendant le processus d'installation (l'installeur, lui, est vérolé). Il s'identifie comme un programme d'« étude de marché », prétendant « récolter des informations sur la navigation et les achats des utilisateurs habituellement utilisées dans des études de marche ».
Comme il demande le mot de passe administrateur, il s'exécute en tant que root (et se relance automatiquement), et peut donc accéder à tout fichier stocké sur le Mac. Elle analyse les fichiers, consommant du temps processeur, ainsi que le réseau, consommant de la bande passante. Elle injecte du code dans Safari, Firefox et iChat, et envoie des données diverses comme des adresses courriel, des en-têtes de message iChat, etc.
L'application collecte donc bien des données, mais pas celle qu'elle prétendait, et représente donc un possible problème pour la vie privée des utilisateurs. Evidemment, Intego indique que VirusBarrier X5 et X6 sont capables de repérer et neutraliser OSX/OpinionSpy, dont il existe déjà une variante sous Windows depuis quelques années.
[MàJ@19h20] Intego a commencé à publier les applications et écrans de veille contenant ce spyware. Tous les écrans de veille installant ce spyware ont été créés par 7art-screensavers :
- Secret Land ScreenSaver v.2.8
- Color Therapy Clock ScreenSaver v.2.8
- 7art Foliage Clock ScreenSaver v.2.8
- Nature Harmony Clock ScreenSaver v.2.8
- Fiesta Clock ScreenSaver v.2.8
- Fractal Sun Clock ScreenSaver v.2.8
- Full Moon Clock ScreenSaver v.2.8
- Sky Flight Clock ScreenSaver v.2.8
- Sunny Bubbles Clock ScreenSaver v.2.9
- Everlasting Flowering Clock ScreenSaver v.2.8
- Magic Forest Clock ScreenSaver v.2.8
- Freezelight Clock ScreenSaver v.2.9
- Precious Stone Clock ScreenSaver v.2.8
- Silver Snow Clock ScreenSaver v.2.8
- Water Color Clock ScreenSaver v.2.8
- Love Dance Clock ScreenSaver v.2.8
- Galaxy Rhythm Clock ScreenSaver v.2.8
- 7art Eternal Love Clock ScreenSaver v.2.8
- Fire Element Clock ScreenSaver v.2.8
- Water Element Clock ScreenSaver v.2.8
- Emerald Clock ScreenSaver v.2.8
- Radiating Clock ScreenSaver v.2.8
- Rocket Clock ScreenSaver v.2.8
- Serenity Clock ScreenSaver v.2.8
- Gravity Free Clock ScreenSaver v.2.8
- Crystal Clock ScreenSaver v.2.6
- One World Clock ScreenSaver v.2.8
- Sky Watch ScreenSaver v.2.8
- Lighthouse Clock ScreenSaver v.2.8
Pour le moment, seule une application est affectée, MishInc FLV to MP3. Intego devrait tenir cette liste à jour sur son blog.
Pages