Instapaper Android App Sårbara att Inloggningsuppgifter Stöld

Instapaper Android App Sårbara att Inloggningsuppgifter Stöld

Instapaper är en Android-app som gör det möjligt för användare att spara artiklar på sina enheter, så att de senare kan läsa dem när de är på språng eller offline. Mer specifikt, appen sparar webbsidor som endast text och sedan formaterar dem på lämpligt sätt för telefoner och surfplattor. Appen har en ganska stor mängd installationer på enheter: mellan 100,000 och 500,000 och har en fin betyget 4.2.

sårbarhet

Den som vill använda appen måste skapa ett konto, och måste logga in. Instapaper genomför en säker HTTPS-anslutning, som är tänkt att skydda all information som överförs mellan användare och appen. dock, Bitdefender har funnit att i version 4.1.4 av app, det finns ingen genomförandet av certifikatvalidering. I lekmannaspråk, när du registrerar dig, du skickar data till appen server, men det finns inget att berätta om det kommer att nå det avsedda målet. Som Bitdefender påpekade i sitt inlägg, någon ”skulle kunna använda ett självsignerat certifikat och börja’kommunicera’med programmet”. Även om data och dina inloggningsuppgifter är krypterade, Om hackare lyckas fånga dem, det kommer inte att dröja länge innan de dekryptera dem och få tillgång till ditt konto.

För att få mer teknisk, Instapaper använder en SSLSocketFactory som är tänkt att validera HTTPS-servrar mot en lista över certifikat, samt se till att de är giltiga med hjälp av en privat nyckel. På så sätt din krypterade data skickas mellan servrar. Den TrustManager appen använder, dock, inte har någon tillämpning för validering certifikat. Detta innebär att bedragare kan låtsas vara legitima Instapaper servrar och få dina data.

Den Man-in-the-middle attack

Låt oss säga att Wi-Fi-nätverk som du använder äventyras, d.v.s.. den håller på att övervakas av hackare. Om du loggar in på Instapaper när du använder en sådan anslutning, hackare kan fånga både ditt användarnamn och lösenord. Du kanske tror att en Instapaper konto är ingen stor sak, eftersom du bara använda den för att läsa artiklar. dock, de flesta användare återvinna ofta användarnamn, samt lösenord. Om du använder samma användarnamn och lösenord, på en annan tjänst, hackare kan få tillgång till det och stjäla mer känslig information.

The Fix

Instapaper släppt en uppdatering på tisdag, version 4.2.2, vilket bör åtgärda problemet. Om du inte har appen på din telefon eller surfplatta, Vi rekommenderar att du uppdaterar det genast.

Leave a Reply

Your email address will not be published. Required fields are marked *

Time limit is exhausted. Please reload the CAPTCHA.