NightOwl : cet utilitaire n'est plus chouette du tout depuis qu'il transforme votre Mac en botnet
Si vous avez l'application NightOwl installée sur votre Mac, vous devriez la supprimer dès que possible. Cet utilitaire que nous avions présenté en 2018 sert à programmer avec plus de finesse le mode sombre de macOS. Jusque-là, pas de problème, sauf qu'après un changement de propriétaire fin 2022, NightOwl a été doté en douce d'une « fonction » indésirable et même dangereuse.
Le développeur Taylor Robinson a remarqué que l'application pouvait détourner la connexion internet du Mac sur lequel elle est installée. Cette capacité est mentionnée dans les conditions générales d'utilisation (texte suivant traduit par nos soins):
L'application NightOwl a développé une application qui permet aux utilisateurs de partager leur trafic internet via leur appareil avec NightOwl et ses clients. L'appareil de l'utilisateur devient une passerelle qui permet à NightOwl d'envoyer et de recevoir du trafic internet. Ce trafic est utilisé par NightOwl et ses clients.
Cette mention dans les conditions générales n'enlève rien au problème de fond, à savoir qu'une app destinée à régler le mode sombre de macOS ne devrait pas pouvoir prendre le contrôle de la connexion de l'ordinateur. Pour couronner le tout, les utilisateurs n'ont bien entendu pas été mis au courant au moment de cet ajout et la fonction ne peut pas être désactivée.
D'après l'analyse de Taylor Robinson, l'application installe un processus AutoUpdate
qui se lance au démarrage et qui tourne en arrière-plan avec les droits administrateur. Ce processus, en plus de vérifier les mises à jour via le composant Sparkle, démarre un serveur proxy HTTP qui ouvre une connexion SSH vers un serveur tiers. Une fois la connexion réussie, il fait passer le trafic de ce serveur via la connexion internet du Mac. Autrement dit, le Mac devient un botnet, une machine dont la connexion est utilisée à l'insu de son utilisateur.
Le nouveau propriétaire de NightOwl, TPE.FYI LLC, semble avoir intégré cet intrus pour se faire plus d'argent. L'application parait en effet comprendre le SDK de Pawns, un service qui rémunère les utilisateurs partageant leur connexion internet (0,20 $ par Go partagé).
En bref, même si vous appréciez les fonctions de NightOwl, sa face obscure impose de vous en séparer immédiatement. Pour supprimer complètement l'utilitaire, entrez les commandes suivantes dans le Terminal et validez-les avec le mot de passe de votre session :
sudo killall NightOwl
launchctl unload ~/Library/LaunchAgents/NightOwlUpdater.plist
sudo killall AutoUpdate
sudo rm -rf /Applications/NightOwl.app/ ~/Library/LaunchAgents/NightOwlUpdater.plist
sudo zsh -c "rm /Users/*/Library/LaunchAgents/NightOwlUpdater.plist"
Ha ouais quand même …
Il devait se douter que ça finirait par se savoir.
@radeon
…et pendant ce temps quelques piécettes au passage.
Oh les petites raclures de chiottes…
@Oracle
Je suis un non violent, mais c’est le genre de truc parfois où je me dis que ça serait bon de retrouver le mec pour lui faire bouffer son clavier, à l’ancienne.
@calotype
"je me dis que ça serait bon de retrouver le mec pour lui faire bouffer son clavier"
————
Jarod Stirling
Pour info :
sudo zsh -c "rm /Users//Library/LaunchAgents/NightOwlUpdater.plist"
et non juste
sudo rm /Users//Library/LaunchAgents/NightOwlUpdater.plist
car le * cherche dans les dossiers de tous les utilisateurs et malgré le sudo, avec la deuxième commande, c'est le shell non root qui fait la recherche puisqu'elle se fait avant l'exécution du programme sudo.
@koko256
Au pire rajoutez rm -rf ca supprime sans demander de confirmation et sans vérification. ATTENTION faites gaffe de pas vous tromper de fichier car lattribut “-rf” est la suppression en mode”rien a faire je supprime meme si lordi en a besoin”
Au moins aucuns process arriere plan peut empecher la suppression
Je suis actuellement en version 0.3.0(13) qui ne semble pas concernée, je ne vois pas les dossiers en question sur mon install de NightOwl.
Par contre il me pousse à mettre à jour pour utiliser la version 0.4.5.15
La société semble avoir été dissoute en Mars.
Désormais, je me méfierais de tout ce que peut approcher Jarod Stirling (Tempo AI ?)
Et quelqu’un sait quel est fait l’usage de ces partages de connexion ?
Est-ce uniquement pour livrer des attaques ?
@radeon ça ressemble plus à du residential proxy comme indiqué dans l’article ici -> https://robins.one/notes/uninstall-the-nightowl-app-now.html#fnref:3:1
Ça permet notamment à des bots d’avoir des @IP légitimes qui ne sont pas bloquées par les services antibot type Cloudfare etc… Nous on s’en servait pour tout ce qui est bot pour acheter des sneakers lors de ventes FCFS (First Come First Served)
@Maxime A.
Ok je comprends, merci pour l’info :)
Malin
« sa face obscure impose de vous en séparer immédiatement. »
🤣
Est-ce qu'une application comme Radio Silence permet de bloquer la chose en question ?
Du coup je me dis que le côté « sécure et rassurant » de l’AppStore d’Apple tombe complètement à l’eau.
Comment justifient-ils après cet exemple l’énorme commission ?
NightOwl n'est pas distribué sur l'AppStore.
@ r e m y
> NightOwl n'est pas distribué sur l'AppStore
"On" s'en fout.
L'essentiel pour certains est d'utiliser le moindre prétexte pour critiquer Apple.
@marc_os
Que nenni point du tout, ma question était sincère et je suis soulagé que cette app ne soit pas finalement distribuée par Apple.
Et merci de ne pas lancer un procès d’intention.
@r e m y
Ouf !
Il y a quelques jours, macOS m'a alerté que c'était un possible logiciel "dangereux" en me sommant de le déplacer dans la corbeille. Surpris, j'ai initialement pensé à un faux positif mais l'alerte repoppait en boucle, ce qui m'a incité à faire une rapide recherche Google et à découvrir ceci horrifié... Ça fait des mois qu'il tourne sur mon Mac mais mieux vaut tard que jamais, merci à la veille anti-malware de l'OS 💀
@simnico971
Même avertissement en ce qui me concerne... Un coup d'AppCleaner, et hop !
Merci en tous cas à MacGé de cet article bienvenu !
@simnico971
Même si je n’ai jamais utilisé cette app, il est bon de savoir que le système de protection de macOS fonctionne bien en ayant alerté l’utilisateur.
Merci pour cette info.
Les auteurs de telles malversations devraient être poursuivis d’office au pénal.
Dommage, j’utilisais cette apps depuis sa première apparition et elle m’était d’une grande utilité. Quelqu’un lui connaîtrait un remplaçant ?
Qui peut feindre la surprise ? À notre époque plus rien d’autre ne compte que le « business »…
Moi qui pensait à un faux positif, j'avais contacter l'éditeur :
------------------------------------------------------------------------------
On Aug 7, 2023, at 10:47 AM, XXXXX wrote:
Hello,
Your application stopped working yesterday.
I've tried to reinstall it by downloading the latest version, but the following error message appears:
Impossible to open nightowl-0.4.5.4.pkg you should put this item in the recycle bin.
clicking on the "?" opens a window explaining that the app's authorisation has been revoked (certificate problem).
Are you going to make a new version of your application that I particularly like?
Thanks in advance,
Best regards,
M.XXXXX
ps: Sorry for my broken English, I use an automatic translator.
Translated with www.DeepL.com/Translator (free version)
------------------------------------------------------------------------------
et ils m'ont répondu :
------------------------------------------------------------------------------
Le 8 août 2023 à 17:10, NightOwl Support a écrit :
Hi xxxxxxx
Our app was incorrectly flagged as malware. We have contacted Apple and we are trying to work with them on resolving this issue asap. We are so sorry for the inconvenience.
Please let me know if you have further questions in the meantime.
Mike
NightOwl app
------------------------------------------------------------------------------
maintenant que je voit l'article qu'il aille bruler en enfer !!!!! xD
j'ai basculer sur Nightfall de Ryan Thomson, ok c'est manuel mais ça fait le job ...
@frazyel
Ah oui quand même, ils y vont jusqu’au bout ! 😳