Instapaper est une application Android qui permet aux utilisateurs d'enregistrer des articles sur leurs appareils, afin qu'ils puissent les lire plus tard quand ils sont en déplacement ou sont en ligne. Plus précisement, l'application enregistre les pages Web sous forme de texte uniquement et les formate de manière appropriée pour les téléphones et les tablettes. L'application dispose d'une assez grande quantité d'installations sur les appareils: entre 100,000 et 500,000 et a une note agréable de 4.2.
la vulnérabilité
Toute personne qui veut utiliser l'application doit créer un compte, et doit se connecter. Instapaper implémente une connexion sécurisée HTTPS, qui est censé protéger toutes les informations transférées entre les utilisateurs et l'application. Cependant, Bitdefender a constaté que dans la version 4.1.4 de l'application, il n'y a pas de mise en œuvre validation du certificat. En termes simples, lorsque vous vous abonnez, vous envoyer les données au serveur de l'application, mais il est impossible de dire si elle atteindra la cible. Comme Bitdefender a souligné dans leur blogpost, quelqu'un « pourrait utiliser un certificat auto-signé et commencer à « communiquer » avec l'application ». Bien que les données et vos informations de connexion sont cryptées, si les pirates parviennent à les intercepter, il ne sera pas longtemps avant de les décrypter et de recevoir un accès à votre compte.
Pour obtenir de plus amples techniques, Instapaper utilise un SSLSocketFactory qui est censé valider les serveurs HTTPS contre une liste de certificats, ainsi que de faire en sorte qu'ils sont authentiques en utilisant une clé privée. De cette façon, vos données cryptées sont envoyées entre les serveurs. L'application utilise l'TrustManager, cependant, n'a pas de mise en œuvre pour la validation du certificat. Cela signifie que les fraudeurs peuvent faire semblant d'être des serveurs Instapaper légitimes et obtenir vos données.
L'homme-in-the-middle
Disons que le réseau Wi-Fi que vous utilisez est compromise, à savoir. il est surveillé par des pirates. Si vous vous connectez à Instapaper tout en utilisant une telle connexion, les pirates peuvent intercepter à la fois votre nom d'utilisateur et mot de passe. Vous pouvez penser qu'un compte Instapaper est pas grand, parce que vous ne l'utilisez pour lire des articles. Cependant, la plupart des utilisateurs recyclent souvent les noms d'utilisateur, ainsi que les mots de passe. Si vous utilisez le même nom d'utilisateur et mot de passe, sur un autre service, les pirates peuvent accéder à cela et de voler des informations plus sensibles.
le Fix
Instapaper a publié une mise à jour le mardi, version 4.2.2, qui devrait résoudre le problème. Si vous avez l'application sur votre téléphone ou tablette, nous vous recommandons de mettre à jour tout de suite.