Calendar 2 w App Store z modułem kryptowalutowym

Program był dostępny w sklepie App Store od dłuższego czasu w dwóch wersjach: bezpłatnej oraz premium. Jedna z ostatnich aktualizacji wprowadziła nową funkcję. Użytkownicy, którzy zamierzali skorzystać z wersji premium, a nie chcieli za nią płacić, mogli wyrazić zgodę na uruchomienie modułu kryptogórniczego, kopiącego Monero. Teoretycznie moduł ten miał aktywować się wyłącznie za wyraźną zgodą użytkownika. Moc obliczeniowa procesora Maca, zużywana do obliczania kryptowaluty, opłacałaby tak wersję premium aplikacji.
apple
apple

Ustawienia aplikacji Calendar 2 for Mac
Calendar 2 for Mac z opcją premium, opłacaną przez wbudowanego kryptogórnika (fot. Ars Technica)

Niestety, coś poszło nie tak i niektórym użytkownikom moduł kopiący kryptowalutę uruchamiał się również bez ich zgody. Tym samym aplikacja z App Store działała jak malware.

Gregory Magarshak, założyciel firmy Qbix, odpowiedzialnej za opracowanie Calendar 2, przyznał, że w trakcie wprowadzania funkcji, obliczającej kryptowalutę Monero, nie uniknięto błędów. Co najmniej jeden z nich powodował, że “górnik” wbudowany w kod aplikacji uruchamiał się na czas nieokreślony nawet w sytuacji, gdy użytkownicy nie wyrazili na to zgody. Moduł kopiący Monero miał pracować w sposób nieinwazyjny, tzn. obciążenie procesora powinno być nieodczuwalne. A tymczasem nie dość, że “górnik” działał bez zezwolenia właściciela komputera, to na dodatek zużywał znacznie więcej mocy CPU niż deklarowane 10-20 procent. Tym samym pozornie niewinna funkcjonalność okazała się być złośliwym kodem, zwiększającym też zużycie energii, co miało wpływ na czas pracy akumulatora.

Qbix pracuje teraz nad kolejną aktualizacją, która, zgodnie z deklaracjami twórców, ma całkowicie usunąć feralny moduł. Co na to Apple? Program nie jest już dostępny w App Store – znajdował się tam jeszcze 24 godziny po tym, jak w w serwisie Ars Technica pojawiły się pierwsze doniesienia na temat wadliwego działania Calendar 2. Gigant z Cupertino nie skomentował na razie sytuacji. Możemy tylko domyślać się, czy Qbix przeszedł weryfikacyjne sito Apple’a, mimo obecności wadliwie działającej funkcji – to znaczy nie naruszył wytycznych producenta systemu, dotyczących aplikacji w App Store. Lub może technicy popełnili błąd. Wniosek jest od lat taki sam: gdy ktoś oferuje ci coś za darmo, to znaczy, że to nie jest za darmo. | CHIP