無断でパスワードを抜き取っていたInstagramの「足あと」アプリ、AppleとGoogleが削除
Instagramのアカウントと連携して自分のページを訪問した人の「足あと」をチェックできるサードパーティ製アプリが「Who Viewed Your Profile - InstaAgent」です。イギリス・カナダのApp StoreやGoogle Playの無料アプリランキングで1位を獲得していた人気アプリですが、訪問者を記録するだけでなく、ユーザーのログイン情報を抜き取って外部に無断で送信する悪質なアプリだったことが判明しました。
"Who Viewed Your Profile" #Instaagent will send your Instagram Username and Password to an unknown server! pic.twitter.com/8uZJljJdtO
— David L-R (@PeppersoftDev) 2015, 11月 10
Malicious App 'InstaAgent' Sends Instagram Passwords to Unknown Server, Posts Spam in Users' Feeds - Mac Rumors
http://www.macrumors.com/2015/11/10/malicious-instaagent-instagram-app/
ドイツのアプリ開発会社Peppersoftの開発者David L-R氏が「Who Viewed Your Profile - InstaAgent」をインストールして挙動を調べたところ、ユーザーのユーザーネームとパスワードを抜き取って外部サーバーに送信していることを突き止めています。抜き取られたログイン情報は暗号化されずにクリアテキストで送信されていたほか、画像を投稿する権限も持っているとのこと。Instagramはサードパーティー製アプリがユーザーの代わりに投稿する権限を認めていません。
「InstaAgent」はアメリカではあまり人気がなかったものの、イギリス・カナダでは膨大な回数のインストールが確認されています。すでにGoogle Play・App Storeともにアプリが削除されていますが、 David L-R氏は「AppStoreで初めて約50万回もインストールされたマルウェアアプリだ」とツイート。Mac Rumorsは「InstaAgent」をインストールしている人は速やかにアプリを削除し、Instagramのパスワードや使い回している別のサービスのパスワードがあれば変更するよう呼びかけています。
なお、今回削除されたアプリの正式名称は「Who Viewed Your Profile - InstaAgent」ですが、アプリストアにはInstagram向けの類似する名称のアプリが複数存在します。もともとInstagramのヘルプセンターでは、コミュニティガイドラインに違反している不審な外部アプリにアクセス権を与えないよう警告されており、外部アプリを使う時は注意が必要です。
・関連記事
日本人が最低平均得点をマークしたIT知識テスト「あなたの『ネット常識力』はどのくらい?」 - GIGAZINE
個人情報を抜き取るマルウェア「XcodeGhost」に感染してApp Storeで配信されていたことが判明しているアプリはコレ - GIGAZINE
アダルト動画を見ている姿を激写されて身代金まで要求される極悪Androidアプリ - GIGAZINE
「狂気を感じるほどに長いパスワードをiPhoneに設定している日本人がいる」と海外で報じられる - GIGAZINE
無料化した面倒なパスワード管理が超絶簡単になる「LastPass」スマホ版の使い方 - GIGAZINE
・関連コンテンツ
in モバイル, ソフトウェア, Posted by darkhorse_log
You can read the machine translated English article Instagram's "after foot" app, Apple and ….