Ang Instagram app na ito ay maaaring nakawin ang higit sa 500,000 mga username at password

Ang Instagram app na ito ay maaaring nakawin ang higit sa 500,000 mga username at password

Nasanay na tayong lahat sa pag-crawl ng Instagram, ngunit napakalayo nito. Noong Martes, parehong inalis ng Apple at Google ang isang tanyag na Instagram app ng third-party mula sa kani-kanilang mga store ng app para sa iligal na pag-aani ng impormasyon ng gumagamit.



Ang InstaAgent app ay inilaan upang ipakita ang mga gumagamit na tumingin sa iyong profile, isang pangako na ginawa ng mga nakakahamak na programa mula pa noong unang araw ng social media. Isang developer ng iOS na dumadaan David-L sa Twitter unang naipaliwanag ang isyu noong siya natuklasan ang app ay kumukuha ng mga username at password at nagpapadala ng impormasyon sa isang hindi naka-encrypt na server.

Inimbak ng InstaAgent ang impormasyon sa pag-login ng gumagamit sa plaintext sa sever at, sa ilang mga kaso, ginamit ang impormasyon upang mag-post sa Instagram account ng isang gumagamit nang walang pahintulot sa kanila. Ang server, na naka-host sa instagram.zunamedia.com, ay na-flag bilang isang phishing site ng CloudFlare.



Sa ilaw ng pagtuklas, inalis ng Apple at Google ang InstaAgent mula sa iOS App Store at Google Play Store, ngunit hindi bago ang app ay umabot ng 500,000 mga pag-download. Nag-chart ang InstaAgent bilang isang nangungunang nai-download na app sa maraming mga bansa kabilang ang Canada, United Kingdom, at Germany.

Ang mga app na naglalaman ng nakakahamak na code ay hindi isang bagong kababalaghan, ngunit minamarkahan ng InstaAgent ang pangalawang pangunahing halimbawa ng isang nakompromisong produkto na nakalusot sa may pader na hardin ng iOS App Store. Mas maaga sa taong ito, maraming mga app mula sa mga developer ng Tsino na nagawang i-bypass ang proseso ng pagsusuri ng Apple gamit ang isang binagong bersyon ng iOS development software Xcode. Ang mga app na iyon Mina para sa data ng gumagamit hanggang sa punasan ng Apple ang App Store sa kanila.

Ang iba pang mga app na nagke-claim na nagsisilbi ng parehong layunin tulad ng InstaAgent — upang ipaalam sa mga gumagamit kung sino ang bumisita sa kanilang profile — ay magagamit pa rin sa App Store. Walang pahiwatig na ang mga app na iyon ay nagkasala ng parehong uri ng pag-aani ng data tulad ng InstaAgent, ngunit malamang na hindi rin nila ibinibigay ang serbisyong inaangkin nila.

H / T Apple Insider | Larawan sa pamamagitan ng Diego Castano / flickr (CC ng 2.0) | Remix ni Max Fleishman