Az Apple eltávolította az App Store-ból a „Ki nézte meg a profilod – InstaAgent” nevű alkalmazást, miután egy szoftverfejlesztő rájött, hogy a program titokban ellopja az instagramos login neveket és jelszavakat a felhasználóktól.

David L-R, a PeppersoftDev programozója véletlenül akadt rá a súlyos adatvédelmi problémára, amikor az InstaAgent forráskódját elemezte, amely egyébként az App Store egyik legnépszerűbb alkalmazásának számít több mint 500 ezer letöltéssel.

Amikor elkezdte megvizsgálni az alkalmazás viselkedését, kiderült, hogy az InstaAgent szépen begyűjti a belépő-azonosítókat és továbbítja is őket az instagram.zunamedia.com szerver számára.

Az adatot védtelenül, titkosítás nélkül küldi, amely miatt megtörténhet az, hogy bárki, aki tudja, hogy mit keressen, könnyedén elfoghatja az átvitel adatait, és hozzáférést nyerhet többezernyi Instagram-felhasználó nevéhez és jelszavához sima text formátumban.

Később néhány felhasználó is előkerült, akik azt állították, hogy az alkalmazás a nevükben posztolt. Mivel az alkalmazás erre nem is kér engedélyt az Instagramtól, ez azt jelentheti, hogy kifejezetten erre használja a lopott azonosítókat.

Az Apple azonnal eltávolította internetes boltjából az InstaAgent-et, amikor napvilágra került a felfedezés. A Google is így tett az androidos verzióval, már nem találhatjuk meg Play Store-ban, bár az még nem lett megerősítve, hogy az androidos változat kódjában is fellelhető-e a kémfunkció.

Ez persze nem az első eset, hogy kártékony alkalmazást találtak az App Store-ban. Az elmúlt két hónapban már túl vagyunk az XGhostCode „katasztrófán”, amikor is az Xcode egy fertőzött verzióját használták arra, hogy „tiszta” alkalmazásokat bolondítson meg egy kártevővel, és hát különböző alkalmazások is adatvédelmi jogokat sértettek vagy kártékony kódot tartalmaztak.

Forrás: Softpedia