Kolmannen osapuolen asiakasohjelmien käyttö on aina huono idea. Aivan kuten tässäkin tapauksessa, ne voivat varastaa sinun kirjautumistietosi tai niiden suojaukset ovat muutoin niin heikot, että joku ulkopuolinen hyökkääjä voi pystyä murtautumaan ohjelman keräämiin tietoihin. Tällaisia tapauksia on nähty esimerkiksi Snapchatin kohdalla. On siis aina suositeltavaa käyttää palvelun kehittäjän tarjoamaa sovellusta.
Intagram-käyttäjiä houkuteltiin lataamaan InstaAgent lupaamalla paljastaa ketkä katsovat milloinkin sinun profiiliasi. Pelkästään Google Play Storen kautta sovellusta oli ladattu 100.000–500.000 kertaa. Ohjelma sijoittui Britannian, Kanadan ja Saksan App Store -kaupoissa ilmaisten ohjelmien listoilla hyvin.
Jos käytit kyseistä sovellusta, niin ohjelma kannattaa mahdollisimman pikaisesti poistaa puhelimesta ja vaihtaa sen jälkeen Instagram-salasana. Mikäli käytit samaa sanaa muissakin palveluissa, niin vaihda niidenkin salasanat (älä käytä enää samaa salasanaa).
Tapauksessa on syytä osoittaa sormea myös Googlen ja Applen suuntaan. Niiden ei pitäisi päästää tällaisia haittaohjelmia sovelluskauppoihinsa.
"Who Viewed Your Profile" #Instaagent will send your Instagram Username and Password to an unknown server! pic.twitter.com/8uZJljJdtO
-- David L-R (@PeppersoftDev) November 10, 2015
Kommentit (5)
Vähän kovaa tekstiä kehittää välttämään indie developerien sovelluksia. Esimerkiksi Rudy Huyn on tehnyt upeita sovelluksia Windows Phonelle jotka ovat mahdollistaneet palvelujen käytön a) palvelun tarjoajan clienttia paremmalla sovelluksilla b) silloin kun virallista sovellusta ei ole.
Mielestäni yksi tämän ajan hienoista puolista on se, että lahjakkaat koodarit pystyvät luomaan ja levittämään ohjelmiaan - ei pelkästään megalomaaniset korporaatiot.
Tarkoittaa, että softa lähettää käyttäjän tunnuksen ja salasanan selväkielisenä jonnekin.
Se riippuu ihan mitä "moisella" haluaa tarkoittaa. Jos puhutaan täsmälleen tämänkaltaisesta typeryydestä, ei sen testaaminen ole vaikeata. Proxy väliin ja katsotaan meneekö tunnus ja salasana selväkielisenä.
Toki jos puhutaan tällaisen toiminnan täydellisestä estämisestä, on se jokseenkin mahdotonta.
Mitäköhän nyt mahdat tarkoittaa?
Tunnus saa liikkua, salasana ei. Ja ihan aikuisten oikeasti mitään syytä salasanan lähettämiseen selväkielisenä serverille ei ole. Kuten ei salasanan tallennukseen serverillä.
Jos ja kun sekä proxy että laite jolla testataan on testaajan kontrollissa, menee setuppiin 5-10 min ja se tarvitaan tehdä tasan kerran.
Vuosi on 2015, järkevät syyt esim. https:n käyttämättä jättämiseen ovat erittäin vähissä ja Apple tiukentaa ohjeistustaan tämän suhteen koko ajan, ja valvoo sitä.
Vaikka koko liikennettä ei jostain ihmeellisestä syystä salattaisi ei salasanan lähetys selväkielisenä ole kuitenkaan suotavaa eikä tarpeellista, vaan ainoastaan laiskaa ja typerää.
En nyt taas ymmärrä pointtiasi. Tottakai sen tunnuksen saa salata, mutta aika usein se on enemmän tai vähemmän julkinen tai ainakin helposti arvattavissa, *toisin kuin salasana*, jota ei pidä lähettää ikinä selväkielisenä serverille, etenkään tunnuksen kanssa eikä sitä pidä ikinä tallentaman tietokantaan selväkielisenä.
Ei tarvitse olla "vapaamielinen". Kauppaan pääsy ole mikään perustavaa laatua oleva oikeus. Ja missään tapauksessa ei pidä sallia käyttäjiä vaarantavia käytäntöjä, joiden puolesta yrität jostain ihmeellisestä syystä advokoida.
Apple kiristi verkkoliikenteen säädöksiä ios9:ssa ja uudessa OSX:ssa. Kiristää lisää tulevina vuosina. Ja ihan syystä.
Salasanan lähetys selväkielisenä on ihan universaalisti typerää, ja varastaminen liki rikollista ei siihen ole mitään poikkeuksia.
Muistelin kuinka pitkään itsellä meni vastaavan setupin laittamiseen kun tarvitsin sitä testaukseen.
Sen jälkeen kun laitteelle ja proxylle on laitettu asetukset kuntoon näkyy salattu liikenne täysin samalla tavalla kuin salaamaton. Ei siis mitään eroa vaikeusasteessa sen ensimmäisen 5-10min jälkeen.
Kaikki mitä app storeen laitetaan tänä vuonna pitäisi olla tämän vuoden kamaa. Ja ei niitä syitä ollut kauheasti edes vuonna 2008, kun iOS kehitys tuli mahdolliseksi.
Pystytkö antamaan esimerkin jostain hyvästä syystä olla käyttämättä salattua verkkoliikennettä?
Ei tietenkään tehdä, uudet säännöt koskevat uusia submissioita.
Säännökset eivät näy *käyttäjille* millään tavalla suoraan. Ne vaikuttavat kehittäjiin, jotka joutuvat tekemään lisätyötä *elleivät* ole jo tehneet asioita, kuten on kehoitettu viimeiset 5-10v Applen ja ihan jokaisen muun internettoimijan taholta.
Voisitko avata, millä tavalla käyttäjien turvallisuudesta huolehtiminen ei ole hyvä juttu?
Voitko antaa edes yhden esimerkin jossa salasanan lähetys selväkielisenä ei ole typerää? Itse en pysty sellaista keksimään vaikka ihan oikeasti yritän miettiä.
Käyttäjä käyttää mitä käyttäjälle annetaan, turvallisuus on enimmäkseen kehittäjän/palveluntarjoajan vastuulla ja on erittäin hyvä että Apple kiristää sääntöjä koko ajan. Kaikki hyötyvät, osa kehittäjistä joutuu tekemään hieman lisätyötä.