Valamiért nem igazán kedvelte a sötét mód használatát az Apple, mindenesetre 2018-ban a macOS Mojave még nem ajánlotta fel az automatikus átváltást a sötét, illetve világos módba. Kapva kaptak a fejlesztők ezen a hiányosságon, és sorra készítettek segédprogramokat e funkció betöltésére. Az egyik legnépszerűbb közülük a 2018 közepén kiadott NightOwl lett, egy német fejlesztő egyszerű kis segédprogramja, amely csendben futott a háttérben a napi használat során. Az apró menüsor alkalmazás lehetővé tette a sötét/világos mód közötti váltást egyetlen kattintással vagy gyorsbillentyűvel, valamint fix vagy napkelte/napnyugta alapú ütemezéssel. Mi több, a sötét módot le lehetett tiltani bizonyos alkalmazásokban, függetlenül a globális beállítástól.

2021-ben azután az Apple hivatalos macOS funkciókkal tette lehetővé a sötét mód használatát, és így a NightOwl is feledésbe merült. Olyannyira, hogy sokan nem is gondoltak arra, hogy még mindig ott van a gépükön, mint ahogyan arról sem értesültek, hogy az alkalmazást megvásárolta egy másik cég. Azt sem tudták – írja a Gizmodo –, hogy az év elején ez a vállalat csendben frissítette a sötét módú alkalmazást, méghozzá úgy, hogy a felhasználók adatait egy botneten keresztül szippantsa be.

Miután néhány felhasználónak problémája lett az alkalmazással a frissítés után, egy webfejlesztő, Taylor Robinson felfedezte, hogy a program minden értesítés nélkül átirányítja a felhasználók számítógépeinek kapcsolatait, de állítólag csak az IP-címeket gyűjti. A kedvelt Mac-alkalmazás átalakítása mindenesetre az adatgyűjtők játszóterévé tette a gépeket.

Robinson megosztotta a Gizmodóval az alkalmazással kapcsolatos saját nyomozásának részleteit. Azt találta, hogy a NightOwl egy indítót telepít, amely a felhasználók számítógépét egyfajta botnet ügynökké alakítja a harmadik feleknek eladott adatok számára. A NightOwl június 13-án megjelent frissített, 0.4.5.4-es verziója helyi HTTP-proxyt futtat a felhasználók közvetlen tudta vagy beleegyezése nélkül. Ennek egyetlen elismerése az alkalmazás szolgáltatási feltételeinek egy kis része, amely a következőket tartalmazza: „a NightOwl alkalmazás lehetővé teszi a felhasználók számára, hogy megosszák az internetes forgalmat azáltal, hogy módosítják eszközük hálózati beállításait, hogy azokat az internetes forgalom átjárójaként használják. Ezenkívül a felhasználó eszköze átjáróként működik a NightOwl alkalmazás ügyfelei számára, beleértve a web- és piackutatásra, SEO-ra, márkavédelemre, tartalomszolgáltatásra, kiberbiztonságra stb. szakosodott cégeket”.

A botnet beállításait nem lehet letiltani az alkalmazáson keresztül, és a Macen végrehajtott módosítások eltávolításához a felhasználóknak több parancsot kell futtatniuk a Mac Terminal alkalmazásban, hogy Robinson szerint eltávolítsák a kód maradványait a rendszerükből. (Robinson blogja részletezi azokat a terminálparancsokat, amelyekre szükség van az alkalmazás eltávolításához.)

Taylor Robinson

Egyelőre nem világos, hogy hány felhasználót érint a látszólag rosszindulatú kód, főleg, hogy a NightOwl azóta sem a webhelyen, sem az alkalmazásboltban nem elérhető. A NightOwl webhely azt állítja, hogy az alkalmazást több mint 141 ezer alkalommal töltötték le, és legalább 27 ezer aktív felhasználója van az alkalmazásnak. Még ha az alkalmazás a legtöbb felhasználóját el is veszítette, miután az Apple új Dark Mode szoftvert telepítette, potenciálisan több ezer felhasználó futtathatja a NightOwlt régi Macjein.

Néhány nappal azután, hogy Robinson közzétette az alkalmazást rosszindulatú programnak tituláló jelentését, a NightOwl egy megjegyzést fűzött a webhelyéhez: „Alkalmazásunk nem tartalmaz semmilyen rosszindulatú programot. A felvetett aggodalmak téves azonosításon alapulnak, és aktívan együttműködünk minden nagyobb vírusirtó céggel a helyzet mielőbbi orvoslása érdekében.” Ettől függetlenül nyilvánvalónak tűnik, hogy tervezetten építették a botnet viselkedést a programba, és arról nem tájékoztatták jól érthetően a felhasználót. A Gizmodo többször is megkereste a NightOwl alkalmazás tulajdonosait, akik nem reagáltak a megkeresésre.

A HowtoGeeknek viszont válaszoltak: kizárólag a felhasználók IP-címeit gyűjtik, amiből szerintük nem lehet gond, de már dolgoznak azon, hogy akit ez is zavar, az le tudja tiltani az adatgyűjtést.

Ha máskor is tudni szeretne hasonló dolgokról, lájkolja a HVG Tech rovatának Facebook-oldalát.