Instapaper Android App פגיע התחבר גניבת אישורים

Instapaper Android App פגיע התחבר גניבת אישורים

Instapaper היא אפליקציה לאנדרואיד המאפשר למשתמשים לשמור כתבות על המכשירים שלהם, כדי שיוכלו אחר כך לקרוא אותם כשהם נמצאים בדרכים או מנותקים מהרשת. באופן יותר ספציפי, האפליקציה חוסכת דפי אינטרנט כטקסט בלבד ולאחר מכן פורמטים אותם כראוי עבור טלפונים וטאבלטים. אפליקציית מתגאה כמות גדולה למדי של מתקנים בהתקנים: בין 100,000 ו 500,000 יש ודירוג נחמד של 4.2.

הפגיעות

מי שרוצה להשתמש באפליקציה יש ליצור חשבון, ויש לו להיכנס. Instapaper מיישמת חיבור HTTPS מאובטח, שאמורה להגן כל מידע שהועבר בין המשתמשים לבין האפליקציה. למרות זאת, BitDefender מצא כי בגרסה 4.1.4 של האפליקציה, אין יישום של אימות תעודה. במונחים של הדיוט, בעת ההרשמה, אתה שולח את הנתונים לשרת של האפליקציה, אבל אין לדעת אם זה יהיה להגיע ליעד המיועד. כפי BitDefender ציין בפרסום בבלוג שלהם, מישהו "יכול להשתמש באישור בחתימה עצמית ולהתחיל 'תקשורת' עם היישום". למרות נתוני אישורי הכניסה שלך הוצפנו, אם האקרים הצליחו ליירט אותם, זה לא יהיה הרבה לפני שהם לפענח אותם ולקבל גישה לחשבון שלך.

כדי לקבל יותר טכני, Instapaper משתמשת SSLSocketFactory שאמור לאמת את שרתי ה- HTTPS מול רשימה של תעודות, וכן לוודא שהם אותנטיים באמצעות מפתח פרטי. הנתונים המוצפנים שלך נשלח בדרך זו בין השרתים. TrustManager האפליקציה משתמשת, למרות זאת, אין שום יישום לאמת אישורים. משמעות דבר היא כי רמאים יכולים להתחזות שרתי Instapaper לגיטימיים לקבל את נתוני.

התקפת האדם באמצע

נניח כי רשת Wi-Fi שבה אתה משתמש נפגעת, דהיינו. זה נמצא במעקב על ידי האקרים. אם אתה נכנסת ל- Instapaper תוך שימוש בחיבור כזה, האקרים יכולים ליירט את שם המשתמש ואת הסיסמה שלך. אתם עשויים לחשוב כי חשבון Instapaper הוא לא ביג דיל, בגלל שאתה משתמש בו רק כדי לקרוא מאמרים. למרות זאת, משתמש לרוב למחזר שמות משתמש, כמו גם סיסמאות. אם אתה משתמש באותו שם משתמש וסיסמה, על שירות שונה, האקרים יכולים לגשת כי ולגנוב מידע רגיש יותר.

התיקון

Instapaper פרסמה עדכון על יום שלישי, גרסה 4.2.2, אשר אמור לפתור את הבעיה. אם יש לך את האפליקציה במכשיר הטלפון או הטאבלט שלכם, אנו ממליצים לעדכן אותו מיד.

Leave a Reply

Your email address will not be published. Required fields are marked *

Time limit is exhausted. Please reload the CAPTCHA.