Instapaper ist eine Android-App, mit der Benutzer Artikel speichern auf ihren Geräten, so dass sie sie später lesen, wenn sie unterwegs sind oder offline sind. Genauer, Die App speichert Webseiten als nur Text und dann formatiert sie in geeigneter Weise für Smartphones und Tablets. Die App verfügt über eine ziemlich große Menge an Installationen auf Geräte: zwischen 100,000 und 500,000 und hat eine schöne Bewertung 4.2.
die Vulnerability
Wer will, um die App nutzen hat, ein Konto erstellen, und hat sich anmelden. Instapaper implementiert eine sichere HTTPS-Verbindung, die angeblich keine Informationen zwischen den Nutzern und der App übertragen sichern. Jedoch, Bitdefender hat, dass in der Version gefunden 4.1.4 der App, gibt es keine Umsetzung der Zertifikatsüberprüfung. In juristischer Hinsicht, wenn Sie sich anmelden, Sie senden die Daten an den Server des App, aber es ist nicht abzusehen, ob sie das beabsichtigte Ziel erreichen. Wie Bitdefender wies in ihrer Blogpost aus, jemand „ein selbst signiertes Zertifikat verwenden könnte und beginnen‚Kommunikation‘mit der Applikation“. Obwohl die Daten und Ihre Anmeldedaten werden verschlüsselt, wenn Hacker verwalten, um sie abzufangen, es wird nicht lange dauern, bis sie sie entschlüsseln und den Zugriff auf Ihr Konto.
Um mehr technische, Instapaper verwendet eine SSLSocketFactory, die angeblich den HTTPS-Server mit einer Liste von Zertifikaten zu validieren, sowie dafür, dass sie authentisch sind durch einen privaten Schlüssel. Auf diese Weise Ihre verschlüsselten Daten zwischen Server gesendet. Die Trust die App nutzt, jedoch, hat keine Implementierung zur Validierung des Zertifikats. Das bedeutet, dass Betrüger vorgeben können legitime Instapaper-Server zu sein und Ihre Daten erhalten.
Die Man-in-the-Middle-Angriff
Lassen Sie uns sagen, dass die Wi-Fi-Netzwerk Sie verwenden gefährdet ist, d.h.. es wird von Hackern überwacht. Wenn Sie sich bei Instapaper-Zeichen, während eine solche Verbindung mit, der Hacker kann sowohl Ihre Benutzername und Passwort abfangen. Sie mögen denken, dass ein Instapaper-Konto ist keine große Sache, weil Sie es verwenden, werden nur Artikel lesen. Jedoch, die meisten Benutzer recyceln oft Benutzernamen, sowie Passwörter. Wenn Sie den gleichen Benutzernamen und das Passwort verwenden, auf einem anderen Dienst, der Hacker kann den Zugriff auf die und stiehlt sensiblere Informationen erhalten,.
Die Reparatur
Instapaper ein Update am Dienstag, Version 4.2.2, die das Problem beheben sollte. Wenn Sie zu tun haben die App auf Ihrem Smartphone oder Tablet, Wir empfehlen die Aktualisierung es sofort.