Segurança

Aplicativo InstaAgent é retirado da App Store por roubar senhas do Instagram

Estamos entrando em tempos difíceis para a segurança de nossos smartphones. Mesmo com o fato do iOS ser blindado e não permitir a existência de vírus, o perigo está vindo em alguns aplicativos publicados na App Store. É o caso do InstaAgent, que já foi retirado da loja da Apple e do Google.

O aplicativo tinha uma premissa para convencer o usuário a instalá-lo: dizia quem tinha visualizado o seu perfil no Instagram. O problema é que ele pegava os dados do usuário (como a senha da conta) e enviava para um servidor, sem proteção nenhuma. Dias depois, o usuário acabava surpreso ao ver que alguém tinha postado propagandas em sua conta, sem ele saber.

Quem descobriu o problema foi um desenvolvedor. O aplicativo agia tanto no iPhone quanto no Android e por isso já foi retirado de ambas as lojas.

O Instagram sempre sugeriu para seus usuários para não usar aplicativos de terceiros que acessem a sua conta, preferindo sempre o oficial. Se você usou alguma vez o InstaAgent, apague-o do seu aparelho e mude a senha da sua conta do Instagram.

Mesmo com o rigoroso sistema de aprovação de apps, este tipo de aplicativo mal-intencionado está chegando à App Store e aos usuários, o que é bem preocupante. A solução, no momento, é cuidar ao baixar qualquer aplicativo, preferindo sempre aqueles feitos por empresas e desenvolvedores que você já tenha ouvido falar.

Tags
Mostrar mais

iLex

Robô virtual que tem como missão organizar o site e ajudar leitores. De tempos em tempos ele desvirtua e tenta fazer outras coisas, mas nada que um hard reset não resolva.

Artigos Relacionados

  • Tiago Pimenta

    Antigamente eu tinha medo de instalar app’s do Cydia, hoje em dia tenho medo de instalar app’s da App Store.

    • KB

      O problema não está na AppStore, mas na conduta dos desenvolvedores uma vez que têm acesso aos seus dados. Para uma app acessar os dados de outra, precisa de autorização. E se o usuário der (e sim, é ele o responsável pelas conseqüências), está confiando no desenvolvedor. Todo mundo faz o famoso Ok, Next, Agree, etc sem considerar as conseqüências ou ler eventuais avisos. Até mesmo os apps de desenvolvedores conhecidos, você sabe por exemplo o que o Google faz com ou compartilha dos seus dados? Os vínculos de outros serviços que você permite o Google acessar? E assim vai para qualquer empresa que solicita suas informações.
      No mundo cibernético atual, a ordem é Trust No One – TNO, sem exceções.

      • Anderson Camões

        Mais ou menos. À luz do direito, tanto faz se vc clica em ok, i agree, etc. se na descrição do produto ou serviço isto não está claro, torna-se sem efeito.

        • São os SEUS dados, SUAS senhas, SUA segurança. Não importa como a coisa é vista “à luz do direito”, VOCÊ é responsável pelos seus dados e a quem os confia. Ou você fecha o olho e diz “dane-se, legalmente eles não podem fazer nada de errado”?

          • Anderson Camões

            Não é questão de fechar o olho e sim de abrir o olho. Trata-se de responsabilidade objetiva, se eu baixo um aplicativo na loja da Apple, através de um telefone da Apple e meus dados são roubados e usados indevidamente, ou fotos pessoais são expostas, a responsabilidade legal é do fornecedor do serviço.
            Se compro um produto no “ponto frio” e este vem com defeito, vou à loja trocar. Porque? Porque ela é responsável pelo que comercializa. Ou seja a Apple é responsável pelos aplicativos que existem na sua loja.

            • KB

              O sujeito mata um cara com uma faca Tramontina comprada nas Lojas Americanas. Seguindo o seu raciocínio, a responsabilidade é das Lojas Americanas por hospedar facas que podem ser usadas para o crime. E também ela culpada por não verificar com a Tramontina que as facas podem ser usadas num crime para matar.
              A Apple (e a Google) disponibiliza o SDK, tem um contrato de responsabilidade que tem que ser aceito pelo desenvolvedor. Se o mesmo não cumpre, acontece o que aconteceu. App retirada da loja e provavelmente o desenvolvedor terá sua punição.
              Aqui o usuário é culpado sim, pois ele teve que permitir o acesso do aplicativo à sua conta Instagram. Ele teve a chance de negar e não usar o aplicativo. Se concordou, está confiando no aplicativo. A responsabilidade da Apple (e Google em sua loja) não vai além do aplicativo. O que acontece no backend do aplicativo (servidores, banco de dados, etc) sai do escopo.
              Não adianta, o mundo de hoje é Trust No One.

            • Carlos Matheus

              Olá, tudo bem?

              Todo app tem que ser enviado para a Apple para passar por uma avaliação antes de ser disponibilizado na App Store, não tenho certeza (não sou desenvolvedor) mas acredito que eles verificam no código-fonte se tem algum comando malicioso, logo, uma parcela da culpa é deles também e não exclusivamente do usuário que clica em OK, I Agree, etc.

              Vamos usar uma parábola, semelhante a que usou da faca Tramontina comprada na lojas Americanas (ri muito quando li XD): imagine que você vá até uma revenda de carros usados, ao escolher o automóvel, vc indaga o vendedor se tudo no carro funciona e o vendedor prontamente afirma que sim, que ele próprio andou no veículo e constatou que tudo está perfeito. Vc o compra e no caminho pra casa precisa parar no cruzamento, ao tentar frear percebe que o freio não funciona, passa no cruzamento e bate no carro que estava atravessando. De quem é a culpa? Do vendedor que afirmou que tudo estava funcionando ou sua, que confiou cegamente na palavra dele? E de quem é a responsabilidade pelo dano? Da loja que vendeu um veículo sem revisão ou sua?

            • KB

              Para a analogia funcionar e ser equiparável, você tem que considerar carro novo (a AppStore/Google Play store não vende usados 😉 ). O cara comprou carro zero na concessionária, vendedor disse que está ok. Deu problema na rua, a culpa é da montadora, não vendedor. O mesmo tem a responsabilidade de intermediar a solução, mas não é responsável pelo problema.
              Carro Zero = app
              Concessionária = AppStore ou Google Play store
              Montadora = developer
              A Volkswagen tem sido questionada e colocada no foco por ter adulterado valores das emissões gasosas de seus veículos aí pelo mundo afora. De quem é a responsabilidade? Da concessionária, que não sabia do fato e vendeu carro irregular?
              É uma questão complexa esta de aplicativos maliciosos e suas disponibilidades. Com a enorme quantidade de apps sendo desenvolvidas nas diversas plataformas, temo que veremos mais e mais casos deste tipo. Para todo tipo de serviço, a uma contra-força que vai pelo caminho oposto, visando enriquecimento ilícito. Todo cuidado é pouco.

            • Carlos Matheus

              Olá, tudo bem?
              Isso me lembrou de um caso que aconteceu com o pai de um amigo. Ele é vendedor autônomo, o carro é a ferramenta de trabalho dele. A cada 3 ou 4 anos, ele troca de carro por um de mesmo modelo mas 0 KM. Em uma das vezes que ele foi trocar, saiu da concessionária dirigindo e no caminho pra casa o carro parou, do nada. Não lembro direito como resolveram mas parece que ele ligou na concessionária, mandaram um guincho busca-lo e deram outro carro pra ele. XD

            • Arlindo Neto

              Sim, ele passa por uma avaliação, mas na avaliação eles não usam a senha para nada. Pronto, aplicativo aprovado.
              Quando o usuário baixa, ele coloca login e senha no app, ele fornece login e senha, logo ele dá acesso completo a conta. Se o desenvolvedor ia se aproveitar disso a Apple e o Google não tinham como saber.
              Agiu corretamente retirando o app e provavelmente deve rolar algum processo.

            • Anderson Camões

              Lógico que não.
              Agora o sujeito compra a faca tramontina nas lojas americanas. A mesma vem com um defeito, um vicio oculto, a lâmina solta. As lojas americanas são responsáveis e respondem solidariamente.
              Entendeu a diferença?
              A descrição é o aplicativo são aprovados pela Apple, logo ela é responsável pelo que vende, distribui, etc.

            • KB

              O problema neste App não é um defeito/vício oculto, mas uma atitude de má fé. O App não está quebrado, foi desenvolvido desta forma. É bem diferente de algo que quebra e dá problema. E no caso da Apple, eles te devolvem o dinheiro como muitos informaram aqui. Imagino que a Google tenha algo similar.

            • Exatamente como o @bachk:disqus disse. Sua analogia está correta, mas incompleta.

              Se você compra um produto com defeito, a responsabilidade inicialmente é da loja. Ela deve trocar ou devolver o dinheiro, exatamente como acontece na App Store (o dinheiro é devolvido caso você queira “devolver” algum app).

              Mas se você compra um computador que já vem com um vírus que rouba seus dados, é com o fabricante que você vai reclamar. A loja pode devolver o seu dinheiro, mas isso não resolve o problema; seus dados já foram roubados, e a culpa não é da loja.

      • Fefefefe

        Amigo, você entendeu o que ele quis dizer, não força. Se for nesse pensamento seu o problema não está no Cydia, mas na conduta dos desenvolvedores………….

  • Diego Silva

    Complicado hein !! Melhor eu virar desenvolvedor e criar meus próprios apps ( brincadeira rs ).

  • Fabio Hori

    Mas ainda sim, a maior fraqueza de qualquer sistema ainda é o usuário.

  • Rodrigo Costa

    Pra mim o problema é de muitos indivíduos da raça humana, falta de caráter, querer tirar proveito.

  • Hélder Borges

    Apple não anda verificando os aplicativos em sua loja pois comprei um aplicativo chamado portabilidade que não funciona e não tem nenhuma forma pra entrar em contato com o desenvolvedor.
    E quando eu entro em contato com a loja App Store eles falam que não podem fazer nada.

  • Diego Azevedo

    Como bem sabemos que diversos usuários usam o mesmo e-mail e senha para diversos serviços, é importante alertar para trocar em TUDO. Mesmo para senhas que são baseadas mas não idênticas (por exemplo, o primeiro caractere em maiúsculo).

    E outro alerta: Como as informações foram transmitidas em texto puro, sem nenhum tipo de segurança, qualquer pessoa monitorando a rede pode ter acesso a estes dados, não apenas a equipe do instaagent.

  • Gabriel Guimarães

    Por falar em instagram, tem tempos que vcs não atualizam o do blog… Sinto falta da cobertura de vcs por lá!