Esta aplicación de Instagram puede haber robado más de 500.000 nombres de usuario y contraseñas.

Esta aplicación de Instagram puede haber robado más de 500.000 nombres de usuario y contraseñas.

Todos estamos acostumbrados a que Instagram se arrastre, pero esto es demasiado. El martes, Apple y Google eliminaron una popular aplicación de Instagram de terceros de sus respectivas tiendas de aplicaciones por recopilar ilegalmente información del usuario.

La aplicación InstaAgent pretendía mostrar a los usuarios que vieron su perfil, una promesa que han hecho los programas maliciosos desde los primeros días de las redes sociales. Un desarrollador de iOS que pasa David-L en Twitter sacó a la luz el problema por primera vez cuando descubierto la aplicación recopilaba nombres de usuario y contraseñas y enviaba la información a un servidor no cifrado.

InstaAgent almacenó la información de inicio de sesión del usuario en texto plano en el servidor y, en algunos casos, utilizó la información para publicarla en la cuenta de Instagram de un usuario sin su permiso. El servidor, alojado en instagram.zunamedia.com, ha sido marcado como un sitio de phishing por CloudFlare.

A la luz del descubrimiento, Apple y Google eliminaron InstaAgent de iOS App Store y Google Play Store, pero no antes de que la aplicación acumulara al menos 500.000 descargas. InstaAgent figura como una de las principales aplicaciones descargadas en varios países, incluidos Canadá, el Reino Unido y Alemania.

Las aplicaciones que contienen códigos maliciosos no son un fenómeno nuevo, pero InstaAgent marca la segunda instancia importante de un producto comprometido que se infiltra en el jardín amurallado de la App Store de iOS. A principios de este año, varias aplicaciones de desarrolladores chinos que pudieron eludir el proceso de revisión de Apple con una versión modificada del software de desarrollo de iOS Xcode. Esas aplicaciones extraído de los datos del usuario hasta que Apple los borró de la App Store.

Otras aplicaciones que afirman tener el mismo propósito que InstaAgent (informar a los usuarios de quienes visitaron su perfil) todavía están disponibles en la App Store. No hay indicios de que esas aplicaciones sean culpables del mismo tipo de recolección de datos que InstaAgent, pero probablemente tampoco brinden el servicio que dicen ser.

H / T Apple Insider | Foto vía Diego Castaño / flickr (CC por 2.0) | Remix de Max Fleishman