Instapaper er en Android-app som lar brukerne å lagre artikler på sine enheter, slik at de senere kan lese dem når de er på farten eller er frakoblet. Mer spesifikt, app sparer websider som kun tekst og formaterer dem på riktig måte for telefoner og nettbrett. Applikasjonen har en ganske stor mengde installasjoner på enheter: mellom 100,000 og 500,000 og har en fin rangering 4.2.
sårbar~~POS=TRUNC
Alle som ønsker å bruke programmet må opprette en konto, og har til å logge på. Instapaper implementerer en sikker HTTPS-tilkobling, som er ment å beskytte all informasjon overføres mellom brukere og app. Men, Bitdefender har funnet ut at i versjon 4.1.4 av programmet, er det ingen implementering av sertifikatvalidering. I lekmann vilkår, når du registrerer deg, du sende data til app-server, men det er ikke godt å si om det vil nå tiltenkte målet. Som Bitdefender påpekte i sin blogpost, noen “kunne bruke et selvsignert sertifikat og starte‘kommunisere’med programmet”. Selv om data og påloggingsinformasjonen kryptert, hvis hackere klarer å fange dem, det vil ikke være lenge før de dekryptere dem og få tilgang til kontoen din.
For å få mer teknisk, Instapaper bruker en SSLSocketFactory som er ment å validere HTTPS-tjenere mot en liste over sertifikater, samt å sørge for at de er autentiske ved hjelp av en privat nøkkel. På denne måten kryptert data sendes mellom servere. Den TrustManager app bruker, men, har ikke noen gjennomføring for validering av sertifikat. Dette betyr at svindlere kan late til å være legitime Instapaper servere og få data.
The Man-in-the-middle angrep
La oss si at Wi-Fi-nettverket du bruker, er kompromittert, d.v.s.. den blir overvåket av hackere. Hvis du logger deg på Instapaper mens du bruker en slik sammenheng, hackere kan fange opp både brukernavn og passord. Du tror kanskje at en Instapaper-konto er ingen big deal, fordi du bare bruke den til å lese artikler. Men, de fleste brukere ofte resirkulere brukernavn, samt passord. Hvis du bruker samme brukernavn og passord, på en annen tjeneste, hackere kan få tilgang til det og stjele mer sensitiv informasjon.
The Fix
Instapaper utgitt en oppdatering tirsdag, versjon 4.2.2, som skal fikse problemet. Hvis du har en app på telefonen eller nettbrett, anbefaler vi å oppdatere den med en gang.