密码偷窃应用程序暴露了IOS和安卓审批过程中的缺点

阅读量91806

|

发布时间 : 2015-11-13 16:52:53

x
译文声明

本文是翻译文章,文章来源:安全客

原文地址:http://arstechnica.com/security/2015/11/password-pilfering-app-exposes-weakness-in-ios-and-android-vetting-process/

译文仅供参考,具体内容表达以及含义原文为准。

https://p0.ssl.qhimg.com/t015b2ffa5653d37ea2.jpg

苹果应用商店和谷歌播放的审批程序不能筛选出可疑应用

        

        在苹果和谷歌强调其竞争对手的应用商店中存在关键弱点的过程中,这两家公司都指出,Instagram这个第三方应用程序可能会窃取用户的密码和图片。

        InstaAgent,这个应用程序声称自己可以跟踪访问Instagram的用户账号。该应用程序在谷歌播放里有着100,000到500,000的下载量,在苹果应用商店里也处在推荐列表里。不久以后,一个应用程序开发员表示在本周早些时候这个应用就已经把Instsgram用户的登录信息发送回了InstsAgent的程序控制端。在这之后谷歌率先下架了这一应用程序,苹果公司紧随其后。

        从一个IOS研发者周四发表的博客可以看到:

        这个含有了Instagram用户名和密码的可疑数据包被发往了instagram.zunamedia.com这个地址。


https://p4.ssl.qhimg.com/t0154a2e5771c2f8737.png

        另一个值得关注的事实是,InstaAgent的开发者利用一子域instagram.zunamedia.com来传输数据,而这一数据与Instagram服务器发送给官方服务器的数据完全相同。我猜想他是想利用这一手段隐藏他的恶意HTTP数据包,因为一眼看上去这就像是Instagram“官方”数据包正在被发往其“官方”服务器(尽管这只是个骗局)

        在我使用Instagram的24小时之后,一张图片(宣传InstaAgent)发表在了我的个人账号上,在我不知情的情况下。【原文这样描述】


        在最近的一篇报道中,InstaAgent的研发者表示密码绝对不会存放在未经授权的服务器上。然而这只是对已经通过应用程序在不知情情况下发送了自己密码的用户们的一点可有可无的安慰。

        然而更大的一个问题就是,苹果和谷歌在决定是否承认该应用程序的时候都不对其可疑行为加以审核。如果这个恶意程序可以窃取Instagram用户的登录信息,那么可想而知也存在其他应用程序可以窃取更加敏感服务的用户密码。如果苹果和谷歌可以对他们的审核程序解释更多,可能会让用户更加放心,至少知道在他们下载程序的时候是如何得到保护的。当然与此同时,我们还是建议有安全意识的读者对于他们这种空泛的保证持怀疑态度,并且节制地下载应用。

本文翻译自安全客 原文链接。如若转载请注明出处。
分享到:微信
+10赞
收藏
木木要1
分享到:微信

发表评论

内容需知
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 三六零数字安全科技集团有限公司 安全客 All Rights Reserved 京ICP备08010314号-66