Instapaper er en Android app, der gør det muligt for brugerne at gemme artikler på deres enheder, så de senere kan læse dem, når de er på farten eller er offline. Mere specifikt, app sparer websider som kun tekst og derefter formateres dem korrekt til telefoner og tablets. Den app har en temmelig stor mængde af installationer på enheder: mellem 100,000 og 500,000 og har en flot bedømmelse af 4.2.
den sårbarhed
Enhver, der ønsker at bruge den app skal oprette en konto, og har til at logge på. Instapaper implementerer en sikker HTTPS-forbindelse, som formodes at beskytte alle oplysninger overføres mellem brugere og app. Dog, BitDefender har konstateret, at i version 4.1.4 af app, der er ingen implementering af certifikatvalidering. I lægmandssprog, når du tilmelder dig, du sende data til appens server, men der er ingen at fortælle, om det vil nå det tilsigtede mål. Som Bitdefender påpegede i deres blogpost, nogen ”kunne bruge en selvsigneret certifikat og start’kommunikere’med ansøgningen”. Selv om data og dine loginoplysninger er krypteret, hvis hackere formår at opsnappe dem, det vil ikke vare længe, før de dekryptere dem og får adgang til din konto.
For at få mere teknisk, Instapaper bruger en SSLSocketFactory, der formodes at validere HTTPS-servere mod en liste over certifikater, samt at sikre, at de er ægte ved hjælp af en privat nøgle. På denne måde bliver sendt dine krypterede data mellem servere. Den TrustManager den app bruger, dog, ikke har nogen implementering for certifikatvalidering. Det betyder, at svindlere kan foregive at være legitime Instapaper servere og få dine data.
Manden-in-the-middle angreb
Lad os sige, at Wi-Fi-netværk, du bruger er kompromitteret, dvs.. det overvåges af hackere. Hvis du logger ind på Instapaper, mens du bruger en sådan forbindelse, hackere kan opsnappe både dit brugernavn og password. Du tror måske, at en Instapaper konto er nogen big deal, fordi du kun bruge den til at læse artikler. Dog, de fleste brugere ofte genbruge brugernavne, samt adgangskoder. Hvis du bruger samme brugernavn og adgangskode, på en anden tjeneste, hackere kan få adgang til at stjæle mere følsomme oplysninger.
The Fix
Instapaper udgivet en opdatering på tirsdag, udgave 4.2.2, som bør løse problemet. Hvis du har den app på din telefon eller tablet, Vi anbefaler at opdatere den med det samme.