知名Calendar 2的Mac版App公開承認有挖礦程式，成功登上App Store

知名行事曆app Calendar Mac版被發現公開承認藏有挖礦程式碼。這也是向來管理嚴格的蘋果App Store中第一次出現這種使用爭議手法的app。Calendar 2之後承諾將在下一版移除挖礦程式。
 
Ars Technica近日發現，Calendar 2的開發商Qbix在這款app的升級說明中指出，使用者可以同意app在用戶電腦上安裝挖礦程式以換取所有進階功能，或是支付一次性費用或月費方式以解鎖開啟進階功能。研究人員Patrick Wardle的分析發現，Calendar 2內含的是名為xmr-stack miner的Monero幣挖礦程式，如果用戶同意了，電腦就會被植入用來挖這款加密貨幣。
 
App或網站程式碼暗中注入挖礦程式的情形並不少見，但公開承認者並不多，而管理嚴謹著稱的蘋果軟體市集出現這類app，如果不是第一次，應該也是非常少見的案例。蘋果方面並未回應這種作法是否有違背該公司軟體市集的管理規範。
 
Calendar 2這種作法已經引發使用者不滿。有用戶透過推特抱怨Mac 版Calendar 2未經同意安裝了挖礦程式，吃掉200%的電腦CPU資源。他說他沒想到會被App Store的合法廠商感染挖礦程式。

@SGgrc @QbixApps Calendar 2 for Mac (from the App Store) launched a cryptocurrency miner without my permission. Then it ate 200% CPU until I found it and killed it. I didn't expect a miner infection from an App Store vendor. Wow. It runs the xmr-stak Monero miner.

— Fred Laxton (@fredonline) 2018年3月12日

Qbix 創辦人Gregory Magarshak坦承Calendar 2還有兩個瑕疵使問題雪上加霜。第一項瑕疵使xmr-stack miner會不停執行，即使用戶修改了預設設定也是一樣。第二項瑕疵讓它會大量耗用Mac電腦資源，依機種而定，可能吃掉10%到20%的運算資源。他說該公司原本只是想提供獲取完整功能的新選擇，沒想到卻讓用戶遭到CPU資源被大量耗盡的後果。
 
Qbix原本想修復xmr-stack miner的瑕疵，但隨後決定在下一個版本移除這支挖礦程式。理由是挖礦程式的供應商並未提供程式碼，而且修復耗資源的問題會等太久。同時這種作法也讓外界以為Qbix故意在未獲得用戶允許前，利用用戶電腦挖礦，有違該公司理念，此外，他們也不樂見可能導致大規模浪費電力的災難。