Instapaper è un'applicazione Android che permette agli utenti di salvare articoli sui propri dispositivi, in modo che possano poi li leggono quando sono in viaggio o non sono in linea. Più specificamente, l'applicazione salva le pagine web come solo testo e poi li formatta in modo appropriato per i telefoni e tablet. L'applicazione dispone di un gran numero di installazioni su dispositivi: fra 100,000 e 500,000 e ha un bel voto di 4.2.
la vulnerabilità
Chiunque voglia utilizzare l'applicazione deve creare un account, e deve firmare in. Instapaper implementa una connessione sicura HTTPS, che dovrebbe tutelare tutte le informazioni trasmesse tra gli utenti e l'applicazione. Tuttavia, Bitdefender ha rilevato che nella versione 4.1.4 delle app, non v'è alcuna implementazione di convalida dei certificati. In parole povere, quando ti iscrivi, si inviano i dati al server del app, ma non si sa se sarà raggiungere l'obiettivo previsto. Come Bitdefender ha sottolineato nella loro blogpost, qualcuno “potrebbe utilizzare un certificato auto-firmato e iniziare a‘comunicare’con l'applicazione”. Anche se i dati e le tue credenziali di accesso sono criptati, se gli hacker riescono a intercettarli, non passerà molto tempo prima che decifrarli e ricevono l'accesso al tuo account.
Per ottenere più tecnico, Instapaper utilizza uno SSLSocketFactory che dovrebbe convalidare i server HTTPS con un elenco di certificati, così come fare in modo che siano autentici utilizzando una chiave privata. In questo modo i tuoi dati crittografati vengono inviati tra i server. Il TrustManager l'applicazione utilizza, tuttavia, non ha implementazione per la convalida dei certificati. Ciò significa che i truffatori possono fingere di essere server legittimi Instapaper e ottenere i vostri dati.
Il Man-in-the-middle
Diciamo che la rete Wi-Fi in uso è compromessa, cioè. esso viene monitorato da hacker. Se accedi a Instapaper durante l'utilizzo di una tale connessione, gli hacker possono intercettare sia il tuo nome utente e password. Si potrebbe pensare che un account Instapaper è un grosso problema, perché si usa solo per leggere articoli. Tuttavia, maggior parte degli utenti, spesso riciclare nomi utente, così come le password. Se si utilizza lo stesso nome utente e password, su un servizio diverso, gli hacker possono accedere a questo e rubare informazioni più sensibili.
The Fix
Instapaper rilasciato un aggiornamento il Martedì, versione 4.2.2, che dovrebbe risolvere il problema. Se si ha l'app sul tuo telefono o tablet, si consiglia di aggiornare subito.