Apple-godkendt Instagram-app stjæler brugernavne og kodeord

Det er ikke altid sundt at være nysgerrig på, hvem der snuser rundt i din Instagram-profil – en populær app til formålet har vist sig at have lange fingre

»Du skal bare downloade appen Who Viewed Your Profile – InstaAgent, hvis du gerne vil vide, hvem der har kigget på din Instragram-profil.«

Det tilbud har op imod 500.000 iPhone-brugere i blandt andet Canada og Tyskland taget imod i god tro, da de hentede appen InstaAgent fra Apples App Store. Hvor mange Android-brugere, der har hentet den tilsvarende app fra Google Play, vides ikke. Det skriver websiden Appleinsider.com.

Problemet er blot, at InstaAgent ikke nøjes med at levere information til brugerne - den stjæler samtidig brugernes brugernavn og adgangskode til Instagram. Det opdagede programmøren med Twitter-navnet David L-R fra softwarefirmaet Peppersoft, da han begyndte at grave lidt i koden.

Ifølge David L-R sender appen både brugernavn og adgangskode i ukrypteret form til serveren instagram.zunamedia.com, som intet har med Instagrams officielle servere at gøre. Ydermere har David L-R fundet eksempler på, at de stjålne oplysninger er blevet brugt til at poste fotos på de berørte brugeres Instagram-profiler.

InstaAgent er nu fjernet fra både App Store og Google Play, men det må formodes, at der sidder folk hos både Apple og Google, der ligesom os undrer sig over, hvordan en sådan app nogensinde er blevet godkendt til udgivelse. Ligesom en række lignende apps med tilsvarende navne og funktionalitet forhåbentlig bliver set efter i sømmene.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (3)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Laila Jasmin Pedersen

Jeg tror, de fleste her er klar over at Apps altid vil være en risiko-faktor.
Det, der er overraskende i denne sag, er at Apple faktisk er længere tid om at reagere end Google.
Det er bekymrende, at en virksomhed som Apple, der bryster sig af en bedre sikkerhed, ikke alene godkender en app, der er en sikkerhedsbrist,
men de er også væsentlig længere tid om at trække app'en ud af deres app-store.
Som Apple-bruger, så må jeg sige, at det lyder hult, når Apple siger, at man af sikkerhedshensyn alene må gå på deres egen app-store.

Sikkerhed er noget alle må og skal være opmærksomme på - Uanset mærke. Man kan ikke sige, at fordi man bruger mærke x, så er man sikker.
Dette er vist et klart eksempel på det modsatte.

  • 12
  • 0
Jakob Damkjær

at AppStores ikke er magiske...

Fra original artiklen:
"Digging into the app's code revealed sensitive account information being sent unencrypted to a remote server, instagram.zunamedia.com, and in some cases used to log in and post unauthorized photos to users' Instagram feeds. David L-R notes the remote server is not connected to Instagram's official network. "

Hvordan var det lige de der der fandt koden fik fat i sourcekoden til Appen ?

Og at en app sender noget information til en server som er defineret i appen (som man fint kunne obfuscate med en webview til en config fil (så der i den app der bliver godkendt står "Instagram.com" og ikke "instagram.zunamedia.com") når appen så bliver godkendt ÆNDRE man det webview...

Så den forkromede løsning er at ingen apps må benytte online configfiler.... Eller overvågning af alle brugeres brug og trafik af alle apps... (du har ikke rigtigt nogen som helst ide om hvor meget data der er vel ? og hvor mange love man skulle bryde i hvor mange lande for at lytte med og monitorere de forbindelser for mulige problemer...)

Ulovligt, dumt og ville gøre livet røver besværligt for en miliard app udviklere.

Rigtige respons som både Google og Apple gør at at være på mærkerne og blokere certifikaterne for de udviklere der opdages som korrupte.

Hvordan var Apple langsomere ? Appen blev trukket tirdag fra AppStoren og det oprindelige tweet var hmmm nå ja tirdag...

  • 1
  • 1
Søren Jensen

Hvordan var det lige de der der fandt koden fik fat i sourcekoden til Appen ?

Sandsynligvis vis reverse enginering. Der står ingen steder at der er sourcekoden de har fået fat i.

Så den forkromede løsning er at ingen apps må benytte online configfiler

Eller man må lære at stole på programmørne. Hvis en 3.parts app tilbyder dig noget for dit brugernavn/password, så bør man være opmærksom om ikke andet så være klar over at du risikerer app'en kan udgive sig som dig.

  • 0
  • 0
Log ind eller Opret konto for at kommentere