Calendar 2 è un software che fino a ieri era possibile trovare sul Mac App Store e che si presentava come una delle tante applicazioni per gestire eventi, compleanni, ecc. Tra le peculiarità dell’app in questione, un’opzione che consentiva all’utente di sbloccare gratuitamente tutte le funzionalità a patto di accettare il mining di criptovaluta in background.
A parlare dell’app e del fatto che Apple ha (inavvertitamente?) consentito allo sviluppatore di offrire questa opzione, è Ars Technica evidenziando un fenomeno che finora si era visto solo nelle app distribuite su Google Play (lo store per i dispositivi Android) o con applicazioni malevole per Windows. Questo meccanismo è spesso usato da cybercriminali per ottenere nuove critpomonete mediante calcoli lunghi e complessi da eseguire all’insaputa di ignari utenti che usano app che apparentemente servono ad altro o navigano su vari siti internet (mining in-browser o cryptojacking), un meccanismo piuttosto subdolo usato da alcuni sviluppatori per effettuare in segreto l’operazione di mining, sfruttando l’elettricità e la potenza computazionale dei dispositivi delle “vittime”.
Calendar 2 è sviluppata da un’azienda denominata Qbix che ha integrato nell’applicazione per Mac routine per il mining della criptovaluta “Monero”. Lo stack che si occupa del mining delle criptovalute non è attivo fino a quando l’utente non indica esplicitamente di voler attivare l’opzione che sblocca le funzionalità “premium”. L’utente può sbloccare quest’ultima in cambio del mining o, in alternativa, pagando 17.99$ una tantum o 0.99$ per l’abbonamento mensile.
Secondo lo sviluppatore di Qbix, Gregory Magarshak, le funzioni di mining consumano tra il 10% e il 20% delle risorse della CPU (il valore in percentuale varia a seconda se la macchina è alimentata o no). Fa sapere anche che l’attivazione della funzione è stata complicata da due bug che impediscono il funzionamento per com’era previsto. Il primo – presunto – errore provoca l’esecuzione continua del miner in background, anche quando l’utente cambia le impostazioni di default; il secondo bug provocherebbe un consumo di risorse superiore a quello previsto.
Magarshak riferisce che molti utenti dell’app hanno lamentato l’uso eccessivo di risorse; le numerose critiche piovute addosso hanno portato lo sviluppatore a cambiare strategia e ora fa sapere che il meccanismo di mining delle criptovalute verrà eliminato dalle future versioni di Calendar 2. Lo sviluppatore ammette che non è in grado di sapere cosa effettivamente fa la libreria di mining da lui utilizzata riconoscendo che gli utenti si assumono inconsapevolmente il costo in termini di energia elettrica che questa attività suppone.
Ciò che sorprende maggiormente in questa storia è che Apple abbia approvato l’app sul Mac App Store. Come già detto, finora simili meccanismi si erano visti solo sul Play Store di Google con app che apparentemente servono ad altro ma che in realtà includono un framework per il crypto-mining. Un esempio recente di un’app che è stata usata impropriamente per nascondere attività di mining di monete digitali è stato “Bug Smasher”, un gioco che è stato disponibile su Google Play dal novembre del 2011 ed è stato scaricato tra 1 e 5 milioni di volte prima di essere rimosso a gennaio del 2018 dopo una segnalazione di ESET, azienda specializzata in sicurezza informatica.
Aggiornamento. L’applicazione è scomparsa dal Mac App Store: non sappiamo se sia stata rimossa da Apple o se è stato lo sviluppatore a fare questa richiesta.