趨勢科技發行的解壓軟體 Dr. Unarchiver,會偷偷上傳你的瀏覽記錄

資安公司產品造成資安問題,這夠諷刺吧。

最近有幾支 Mac 上的系統相關軟體,連接被爆出竊取用戶資料,因而遭 Mac App Store 下架,最近的案例就是這個:由國內知名的資安公司趨勢科技發行的 Dr. Unarchiver,被發現會偷偷上傳用戶各種瀏覽器的瀏覽記錄和其他資料。

《9to5Mac》的這篇報導中指出,在你用 Dr. Unarchiver 解壓檔案後,軟體會顯示一個選項,問你要不要「快速清除垃圾檔案」(Quick Clean Junk Files),然後就會出現一個目錄掃瞄清單,其中預選選擇了你的家目錄;如果你按下掃瞄按鈕,而且給予該軟體權限進行掃瞄,你系統上的 Safari、Chrome、Firefox 的瀏覽記錄檔案就會被打包成一個 zip 檔,然後上傳到趨勢的伺服器。

同時被上傳的檔案,還包括你的 Google 搜尋記錄、以及系統上安裝的所有軟體清單。在《9to5Mac》的文章中,有更詳細的技術分析和螢幕截圖,大家有興趣的話可以連去看個究竟。

目前 Dr. Unarchiver 已經從 Mac App Store 中下架,如果你裝了這個軟體,就趕快移除吧。

另外,鑑於最近連續發生 Mac App Store 中的軟體被發現偷取用戶隱私相關資料的案例(最近一例是 9/7 爆出來的,Adware Doctor 同樣也偷取用戶瀏覽記錄,因而遭下架),用戶對於 Mac App Store 的把關不夠嚴謹也頗有怨言

至於一般 Mac 用戶,我個人的建議有兩個:第一,Mac OS X 的安全性和 Windows 相比已經算是不錯了,不太需要像 Windows 一樣裝各種安全防護工具;所以這些有的沒的系統工具,能不裝就別裝。第二,如果有軟體跟你要系統存取權限,非必要的話盡量不要准許。

至於為什麼趨勢科技這種等級的大公司,會犯下這種低級錯誤,在軟體中偷取用戶瀏覽資訊?他們拿這些資料做了什麼?這對該公司可能造成的全球性公關危機,又該如何收拾?大家就搬板凳,啃雞排,繼續觀察吧。

更新(2018.9.10. 5PM):

除了上面提到的 Dr. Unarchiver 外,趨勢發行的另外兩個軟體 Dr. Cleaner 和 Dr. Antivirus 也有同樣的問題被踢爆。趨勢這下大鑊了。

更新(2018.9.11 11AM)

趨勢科技針對此事發布了官方說明公告,針對這份公告,以及公告發出的後續反應,我也有一些意見和評論,整理在下面這篇新文章之中。