Η Apple έχει αφαιρέσει την εφαρμογή “Ποιος βλέπει το προφίλ σας – InstaAgent” από το App Store αμέσως μόλις ένας προγραμματιστής λογισμικού διαπίστωσε ότι η εν λόγω εφαρμογή κρυφά έκλεβε τα διαπιστευτήρια του Instagram από τους χρήστες του.
Ο David LR της PeppersoftDev έπεσε πάνω σε κάποια σοβαρά ζητήματα προστασίας της ιδιωτικής ζωής κατά την ανάλυση του πηγαίου κώδικα του InstaAgent, μια από τις πιο δημοφιλείς δωρεάν εφαρμογές του App Store, με πάνω από 500.000 downloads. Η εφαρμογή επέτρεπε στους χρήστες να εξετάζουν το προφίλ τους στο Instagram και να βλέπουν τους κορυφαίους χρήστες που επισκέφτηκαν το προφίλ τους.
Παρακολουθώντας τη συμπεριφορά της εφαρμογής, ο David διαπίστωσε ότι το InstaAgent έκανε συλλογή των διαπιστευτηρίων των χρηστών του Instagram και έστελνε τις πληροφορίες στον διακομιστή instagram.zunamedia.com.
Τα δεδομένα αυτά δεν ήταν καν προστατευμένα, αποστέλλονταν χωρίς κρυπτογράφηση, πράγμα που σημαίνει ότι οποιοσδήποτε που ήξερε που να ψάξει θα μπορούσε εύκολα να παρέμβει σε μια μετάδοση και να αποκτήσει πρόσβαση σε χιλιάδες Instagram ονόματα χρηστών και κωδικούς με τη μορφή απλού κειμένου.
Επιπλέον, ορισμένοι χρήστες αργότερα είπανε ότι η εφαρμογή δημοσίευε μηνύματα για λογαριασμό τους. Η εφαρμογή δεν ζητούσε άδεια από το Instagram API, άρα αυτό σημαίνει ότι πιθανότατα χρησιμοποιούσε τα κλεμμένα usernames και passwords για να το κάνει.
Η Apple αφαίρεσε το InstaAgent από το App Store, όταν ειπωθήκαν τα προβλήματα. Το Google, επίσης, αφαίρεσε την έκδοση του Android InstaAgent από το Play Store. Δεν έχει ακόμη επιβεβαιωθεί αν και η έκδοση του Android περιείχε τη λειτουργία κατασκοπείας στον κώδικά της.
Αυτή δεν είναι η πρώτη περίπτωση κακόβουλων εφαρμογών που βρίσκονται στο App Store. Κατά τους τελευταίους δύο μήνες, είχαμε την καταστροφή XGhostCode όταν μια μολυσμένη έκδοση του Xcode χρησιμοποιήθηκε για να μολύνει αυτόματα καθαρές εφαρμογές με κακόβουλο λογισμικό και την υπόθεση των διαφόρων εφαρμογών που παραβίασαν την ιδιωτική ζωή των χρηστών ή περιείχαν κακόβουλο SDK κώδικα.
