Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?

Spyware: Apple verbannt beliebten Instagram-Client aus App Store

Apple hat heute die kostenlose App “Who Viewed Your Profile - InstaAgent”, einen Dritthersteller-Client für das soziale Bildernetzwerk Instagram, aus dem App Store verbannt. Ein deutscher Entwickler aus Baden-Württemberg hatte kurz zuvor herausgefunden, dass die App Nutzerdaten wie Profilnamen und Passwörter ausspioniert und an einen unbekannten Server schickt. Wer diese App installiert hat, sollte sie schleunigst von seinem Gerät löschen und sein Instagram-Passwort ändern.

Unverschlüsselte Weitergabe der Anmeldedaten
Der Entwickler, der auf Twitter unter dem Namen David L-R postet, teilte gestern Abend ein von der App geschicktes http-Paket, das die Instagram-Anmeldedaten des Anwenders nach der Eingabe unverschlüsselt an den Server instagram.zunamedia.com schickt. Dieser steht in keiner Verbindung zu offiziellen Instagram-Servern. Instagram selbst empfiehlt seinen Mitgliedern, keine Apps von Drittherstellern, sondern nur den eigenen, offiziellen Client zu verwenden (Offizielle Instagram-App: ).


Verbreitung der Malware
“Who Viewed Your Profile - InstaAgent” hatte in seinen Apps für iOS und Android mit der Möglichkeit geworben, diejenigen Nutzer tracken zu können, die das eigene Profil angeschaut haben. Sie wurde etwa 500.000-mal heruntergeladen und war in manchen Staaten wie Kanada und dem Vereinigten Königreich regelmäßig unter den kostenlosen Top-Apps. Damit ist sie eine der weitreichendsten Malware-Produkte des iOS-App-Stores. Wie die App es schaffen konnte, sich durch Apples Review-Prozess zu schummeln, ist nicht bekannt. Auch Google hat die App aus dem Play Store geworfen.

Was Betroffene tun sollten
Anwender, die diese App verwendet haben, sollten schleunigst ihr Passwort ändern und die App löschen. Weiterhin sollten sie ihre Profile dahingehend überprüfen, ob ungewollte Beiträge hochgeladen wurden. Schließlich müssen sie leider auch damit rechnen, dass ihre bisher geposteten Bilder und Videos, unabhängig von den Privatsphäre-Einstellungen, allesamt auf fremden Rechnern gespeichert sind.

Weiterführende Links:
AirPower lädt Apple Watch: Vorgang erstmals in Video festgehalten
AirPower lädt Apple Watch: Vorgang erstmals in ...
7 Jahre APFS: Vorteile und Eigenheiten von Apples modernem Dateisystem
7 Jahre APFS: Vorteile und Eigenheiten von Appl...
macOS Sonoma: Update installiert sich in manchen Fällen von selbst
macOS Sonoma: Update installiert sich in manche...
Linsenspiegelungen: Bekommt Apple das Problem mit dem iPhone 16 in den Griff?
Linsenspiegelungen: Bekommt Apple das Problem m...
MacStammbaum 10.3 erschienen – "Suche" ganz neu gedacht
MacStammbaum 10.3 erschienen – "Suche" ganz neu...
Wie lange wird Intel noch unterstützt?
Wie lange wird Intel noch unterstützt?
Bericht: Die ersten 2-Nanometer-Chips von TSMC gehen an Apple
Bericht: Die ersten 2-Nanometer-Chips von TSMC ...
Test Swarovski AX Visio
Test Swarovski AX Visio

Kommentare

gritsch11.11.15 09:21
mtn
teilte gestern Abend einen Teil des App-Codes

schon wieder so ein grober fehler: das ist kein teil des app-codes sondern das datenpaket das gesendet wird (kann man ganz einfach absniffen).
Wer schreibt denn hier inzwischen die news? Mit TECH hat der ja wenig am hut scheint mir...
0
tech_markfried
tech_markfried11.11.15 09:23
Hm finde ich wirklich schade, dass sowas nicht von Apple bei der Überprüfung gesehen wurde... Manch andere Apps brauchen ewig für eine Überprüfung und dann wird da einfach mal eine Malware App durchgelassen.
0
gritsch11.11.15 09:23
mtn
Wie die App es schaffen konnte, sich durch Apples Review-Prozess zu schummeln, ist nicht bekannt.

Von wem kommt denn diese Aussage? Die macht ja auch total keinen Sinn!
Apples Review-process prüft solche Dinge ja gar nicht (wie denn auch?).
0
gritsch11.11.15 09:25
tech_markfried
Hm finde ich wirklich schade, dass sowas nicht von Apple bei der Überprüfung gesehen wurde... Manch andere Apps brauchen ewig für eine Überprüfung und dann wird da einfach mal eine Malware App durchgelassen.

aha, apple sollte also den gesamten datenverkehr jeder app testen und überprüfen was denn nun gültiger datenverkehr ist und was nicht? Entwickler können das auch ganz einfach umgehen indem dieser Datenverkehr bei der Prüfung nicht gesendet wird (zeitlich erst versetzt aktiviert).
Wäre der entwickler etwas schlauer gewesen, hätte er den content einfach verschlüsselt, schon wäre das NIEMANDEM aufgefallen (auch dem entwickler der sich jetzt per twitter gemeldet hat nicht).
0
cheesus1
cheesus111.11.15 09:29
gritsch
aha, apple sollte also den gesamten datenverkehr jeder app testen und überprüfen was denn nun gültiger datenverkehr ist und was nicht?
Selbstverständlich! Genau das erwarte ich von einem solchen Prüfungsprozess.
0
iGod11.11.15 09:35
Wer so eine App installiert hat nichts anderes verdient.
0
gritsch11.11.15 09:40
cheesus1
gritsch
aha, apple sollte also den gesamten datenverkehr jeder app testen und überprüfen was denn nun gültiger datenverkehr ist und was nicht?
Selbstverständlich! Genau das erwarte ich von einem solchen Prüfungsprozess.

Dann erwartest du von Autoherstellern sicherlich auch Fahrzeuge welche nicht in einen Unfall verwicklet werden können? Wäre die gleich absurde Annahme!
0
PaulMuadDib11.11.15 10:07
cheesus1
Selbstverständlich! Genau das erwarte ich von einem solchen Prüfungsprozess.
Dann mach mal ein Vorschlag wie genau dies möglich sein soll. So rein logisch betrachtet.
0
jlattke11.11.15 10:34
gritsch
Was für ein Blödsinn! Und der Vergleich ist natürlich noch dämlicher. Natürlich wird von einem Review-Prozess erwartet das solche Sicherheitslücken aufgedeckt werden (damit wurde er im übrigen sogar einmal begründet: um Qualität und Sicherheit zu gewährleisten). Es ist also alles andere als eine absurde Annahme, sondern eine von Apple selbst geschürte Erwartungshaltung. Und von einem Autohersteller erwarte ich, dass die Dinge die er in seinem Zubehörshop oder sogar als Softwareerweiterung für das Fahrzeug verkauft a) sicher b) geprüft sind. Das hat beides nichts – aber auch gar nichts – mit Unfallvermeidung zu tun. Aber durchaus mit Unfallsicherheit. Soll heißen: das was übermittelt wird muss für den User transparent sein.

Und ja, die Automobilindustrie testet das selbst Verkaufte Zubehör extrem in Crashtests. Schon allein weil sie dafür auch haftbar gemacht werden können. Würde man erwarten das ein Auto nicht in einen Unfall verwickelt werden könnte wäre das eher das gleiche wie wenn man erwarten würde das ein Telefon nicht herunterfällt …
0
PaulMuadDib11.11.15 10:42
jlattke
gritsch
Was für ein Blödsinn! Und der Vergleich ist natürlich noch dämlicher. Natürlich wird von einem Review-Prozess erwartet das solche Sicherheitslücken aufgedeckt werden (damit wurde er im übrigen sogar einmal begründet: um Qualität und Sicherheit zu gewährleisten). …
Du scheinst das Problem nicht zu verstehen. Es wird erst zu einem Sicherheitsleck, wenn das übertragen der Daten nicht zur normalen Funktion gehört, sondern nur mit der Absicht geschieht sie auszuspionieren.

Also wie will man das Unterscheiden?
0
Weia
Weia11.11.15 10:48
PaulMuadDib
Du scheinst das Problem nicht zu verstehen. Es wird erst zu einem Sicherheitsleck, wenn das übertragen der Daten nicht zur normalen Funktion gehört, sondern nur mit der Absicht geschieht sie auszuspionieren.

Also wie will man das Unterscheiden?
Na, genau so, wie derjenige, der das jetzt auf Twitter gepostet hat, es auch unterscheiden konnte?
🦖The dinosaurs invented Jesus to test our confidence in science
0
gritsch11.11.15 10:51
jlattke
gritsch
Was für ein Blödsinn! Und der Vergleich ist natürlich noch dämlicher. Natürlich wird von einem Review-Prozess erwartet das solche Sicherheitslücken aufgedeckt werden (damit wurde er im übrigen sogar einmal begründet: um Qualität und Sicherheit zu gewährleisten). Es ist also alles andere als eine absurde Annahme, sondern eine von Apple selbst geschürte Erwartungshaltung. Und von einem Autohersteller erwarte ich, dass die Dinge die er in seinem Zubehörshop oder sogar als Softwareerweiterung für das Fahrzeug verkauft a) sicher b) geprüft sind. Das hat beides nichts – aber auch gar nichts – mit Unfallvermeidung zu tun. Aber durchaus mit Unfallsicherheit. Soll heißen: das was übermittelt wird muss für den User transparent sein.

Und ja, die Automobilindustrie testet das selbst Verkaufte Zubehör extrem in Crashtests. Schon allein weil sie dafür auch haftbar gemacht werden können. Würde man erwarten das ein Auto nicht in einen Unfall verwickelt werden könnte wäre das eher das gleiche wie wenn man erwarten würde das ein Telefon nicht herunterfällt …

du verstehst aber nicht dass es nicht möglich ist sowas zu erkennen.
apple prüft ob methoden/funktionen verwendet werden die nicht verwendet werden dürfen, testet die app auf verschiedenen geräten um sicherzustellen dass sie nciht crasht etc, apple KANN aber technisch nicht prüfen was im code zu irgendeinem bestimmten zeitpunkt mal passieren wird und schon gar nicht entscheiden ob das OK ist oder nicht.
0
gritsch11.11.15 10:54
Weia
PaulMuadDib
Du scheinst das Problem nicht zu verstehen. Es wird erst zu einem Sicherheitsleck, wenn das übertragen der Daten nicht zur normalen Funktion gehört, sondern nur mit der Absicht geschieht sie auszuspionieren.

Also wie will man das Unterscheiden?
Na, genau so, wie derjenige, der das jetzt auf Twitter gepostet hat, es auch unterscheiden konnte?

dazu muss man sich eine app NACH (!!!) dem review zur brust nehmen, bedenken um welche app es sich handelt, welche datenverbindungen also ok sind und welche nicht. dann muss man überprüfen welche daten darin gesendet werden (war hier nur möglich weil der entwickler der app stümperhafterweise auf verschlüsselung verzichtet hat). Bei einer instagram- bzw twitter-app ist einem ja klar dass die nur mit den diensten eine datenverbindung aufbauen SOLLTEN, bei anderen diensten ist das aber nicht klar. Auch können solche apps verbindungen zu eigenen servern aufbauen um daten abzuliefern und zu holen - das ist normaler alltag. Normalerweise kann man die daten aber nicht sehen da sie verschlüsselt sind. Man weiß also nicht ob da sinnvolle daten übertragen werden oder das passwort des dienstes an dem man sich eigentlich anmelden will.
0
Cupertimo11.11.15 11:03
Darum nutze ich NIE Dritthersteller-Apps. Auch die aktuelle Whatsapp-App auf Pkatz 1 des App-Stores ist mir nicht geheuer. Aber alle so "Yeah!"

Ist ja umsonst.

Gesunder Menschenverstand=0
0
Weia
Weia11.11.15 11:05
gritsch

Dass Unmögliches unmöglich ist, ist schon klar, aber Mögliches sollte überprüft werden. Und das wurde es hier nicht.
🦖The dinosaurs invented Jesus to test our confidence in science
0
gritsch11.11.15 12:11
Weia
gritsch

Dass Unmögliches unmöglich ist, ist schon klar, aber Mögliches sollte überprüft werden. Und das wurde es hier nicht.

dann musst du aber auch dafür zahlen. so ein manuelles komplettreview kann schon mal ein paar tausend euro kosten (pro app) und gibt dir dann absolut keine sicherheit dass nicht doch irgendwas drin ist das irgendwelche daten die du in der app eintippst an einen fremden server gehen.
Einfache und einzige lösung: Immer die original-app verwenden!
0
Weia
Weia11.11.15 12:42
gritsch
dann musst du aber auch dafür zahlen.
Das tue ich ja in Form hoher Apple-Preise; entsprechend erwarte ich dann, dass Apple in meiner und aller anderen Kunden Auftrag die beworbenen Überprüfungen auch tatsächlich durchführt.
Einfache und einzige lösung: Immer die original-app verwenden!
Was ist denn eine „Original-App“? Nur solche von Apple?
🦖The dinosaurs invented Jesus to test our confidence in science
0
gritsch11.11.15 12:59
Weia
gritsch
dann musst du aber auch dafür zahlen.
Das tue ich ja in Form hoher Apple-Preise; entsprechend erwarte ich dann, dass Apple in meiner und aller anderen Kunden Auftrag die beworbenen Überprüfungen auch tatsächlich durchführt.
Einfache und einzige lösung: Immer die original-app verwenden!
Was ist denn eine „Original-App“? Nur solche von Apple?

Also, du zahlst natürlich, aber du zahlst eben zu wenig um die ganzen apps (Mac OS, iOS, tvOS) einem manuellen komplett-test zu unterziehen und das dann auch jedesmal bei jeder neuen version.
Wenn du es nicht verstehst, glaub es einfach!

die ORIGINAL-App wäre in dem fall die offizielle app von Instagram!
Ist es echt so schwer zu verstehen dass wenn man bei einer X-beliebigen app seinen username und passwort für einen anderen service eingibt, diese app damit auch machen kann immer sie will (und NIEMAND) kann sie daran hindern (außer man dreht ihr komplett den netzzugang ab - und dann gäbe es auch noch andere wege der kommunikation).
0
PaulMuadDib11.11.15 13:27
Weia
Dass Unmögliches unmöglich ist, ist schon klar, aber Mögliches sollte überprüft werden. Und das wurde es hier nicht.
Weil es nicht geht. Außer du erklärst, wie.
0
Weia
Weia11.11.15 13:28
gritsch
Also, du zahlst natürlich, aber du zahlst eben zu wenig um die ganzen apps (Mac OS, iOS, tvOS) einem manuellen komplett-test zu unterziehen und das dann auch jedesmal bei jeder neuen version.
Dann soll Apple das halt nicht vollmundig suggerieren … wozu dann überhaupt die Überprüfung im App Store? Doch nur, um nackte Busen und unliebsame Konkurrenz zu verhindern?
Wenn du es nicht verstehst, glaub es einfach!
Danke für Dein Vertrauen in meine intellektuellen Kapazitäten! Und ja, ich liebe Autoritätsargumente! (Ich bin übrigens Entwickler.)
die ORIGINAL-App wäre in dem fall die offizielle app von Instagram!
Ah, OK. Ich nutze so Web-2.0-Zeugs nicht und habe mich daher in Bezug auf andere Apps gefragt, was die wohl zu „Originalen“ macht …
Ist es echt so schwer zu verstehen dass wenn man bei einer X-beliebigen app seinen username und passwort für einen anderen service eingibt, diese app damit auch machen kann immer sie will
Nein, ist es nicht – aber eben auch nicht für Apple. Wenn das das ganze Problem sein soll, ist doch nichts leichter, als den erzeugten Netzwerkverkehr dieser Art von Apps darauf zu überprüfen (und zwar routinemäßig alle paar Monate), ob nur der zu erwartende Server kontaktiert wird; das ließe sich prima automatisieren, und dafür ist dann ja auch jegliche Verschlüsselung gleichgültig.
🦖The dinosaurs invented Jesus to test our confidence in science
0
Weia
Weia11.11.15 13:30
PaulMuadDib
Weia
Dass Unmögliches unmöglich ist, ist schon klar, aber Mögliches sollte überprüft werden. Und das wurde es hier nicht.
Weil es nicht geht.
Dann wäre es auch nicht möglich …
🦖The dinosaurs invented Jesus to test our confidence in science
0
PaulMuadDib11.11.15 13:34
Weia

Dann wäre es auch nicht möglich …
Genau!

Die Überprüfung kann nur offensichtliche Dinge prüfen. z.B. ob sich jemand über private APIs versucht einen Telefonbuchzugriff zu ermogeln. Oder zu versuchen aus der Sandbox auszubrechen.

Und das selbst das nicht 100% sicher ist, sollte jedem klar sein. Nur ist es wesentlich besser, als alles durchzuwinken. Der Otto-Normal-Telefonierer bekommt eben ohne dieses Wissen eine relativ sicherere Umgebung.
0
PaulMuadDib11.11.15 13:35
Weia
, ob nur der zu erwartende Server kontaktiert wird; das ließe sich prima automatisieren, und dafür ist dann ja auch jegliche Verschlüsselung gleichgültig.
Ond woher kennt Apple den "erwartenden Server"? Vom Entwickler...? Klar.
0
gritsch11.11.15 13:36
Weia
Nein, ist es nicht – aber eben auch nicht für Apple. Wenn das das ganze Problem sein soll, ist doch nichts leichter, als den erzeugten Netzwerkverkehr dieser Art von Apps darauf zu überprüfen (und zwar routinemäßig alle paar Monate), ob nur der zu erwartende Server kontaktiert wird; das ließe sich prima automatisieren, und dafür ist dann ja auch jegliche Verschlüsselung gleichgültig.

also, es gibt nicht "zu erwartende Server", denn wenn diese app irgendwelche datenpakete an ihrern eigenen server schickt, ist das ganz normal. und was in den datenpaketen drin ist, sieht man normalerweise dank verschlüsselung nicht. Gäbe es solch eine kontrolle bei apple, so hätte der entwickler die daten eben verschlüsselt...
0
Weia
Weia11.11.15 14:10
PaulMuadDib
Ond woher kennt Apple den "erwartenden Server"?
Na, bei einer App für Instagram ist das eben Instagram. Dass es hier um diese Art Apps geht, die sich an jemands anderen Dienst dranhängen, darüber hat mich gritsch ja nun gerade aufgeklärt.
🦖The dinosaurs invented Jesus to test our confidence in science
0
Weia
Weia11.11.15 14:13
gritsch
also, es gibt nicht "zu erwartende Server", denn wenn diese app irgendwelche datenpakete an ihrern eigenen server schickt, ist das ganz normal..
Findest Du? Das finde ich nun aber überhaupt nicht normal. Welchen Grund hätte die App dafür? Updates werden zentral über Apple abgewickelt, einen anderen, zu rechtfertigenden Grund sehe ich nicht. Schon gar nicht bei einer App, der Nutzer ihre Login-Daten anvertrauen.
🦖The dinosaurs invented Jesus to test our confidence in science
0
gritsch11.11.15 14:38
Weia
gritsch
also, es gibt nicht "zu erwartende Server", denn wenn diese app irgendwelche datenpakete an ihrern eigenen server schickt, ist das ganz normal..
Findest Du? Das finde ich nun aber überhaupt nicht normal. Welchen Grund hätte die App dafür? Updates werden zentral über Apple abgewickelt, einen anderen, zu rechtfertigenden Grund sehe ich nicht. Schon gar nicht bei einer App, der Nutzer ihre Login-Daten anvertrauen.

ist aber so. nahezu alle dieser apps tracken irgendwie, blenden werbung ein, laden irgendwelche resourcen nach (und bei jedem laden kann man auch was mitsenden) etc.
klar will ich nicht getrackt werden, ich verwende aber auch keine solchen programme.
die leute die das tun, denken nicht drüber nach, wissens nicht, oder es ist ihnen einfach egal.
verboten ist es ja nicht.
0
cheesus1
cheesus111.11.15 15:09
mactechnews
...dass die App Nutzerdaten wie Profilnamen und Passwörter ausspioniert und an einen unbekannten Server schickt.
Darum geht es doch! Meinetwegen kann eine App auch Daten an einen Server schicken, sofern dies funktional erforderlich ist. Aber dass Nutzerdaten von Instagram versendet werden, das sollte im Reviewprozess auffallen. Wenn das schon ein "einfacher Entwickler aus dem Schwabenland" erkennt, dann dürfte das für Apple wohl kein Problem sein. Fazit: Das war nicht unmöglich, sondern hier wurde einfach geschlampt.
0
gritsch11.11.15 15:27
cheesus1
mactechnews
...dass die App Nutzerdaten wie Profilnamen und Passwörter ausspioniert und an einen unbekannten Server schickt.
Darum geht es doch! Meinetwegen kann eine App auch Daten an einen Server schicken, sofern dies funktional erforderlich ist. Aber dass Nutzerdaten von Instagram versendet werden, das sollte im Reviewprozess auffallen. Wenn das schon ein "einfacher Entwickler aus dem Schwabenland" erkennt, dann dürfte das für Apple wohl kein Problem sein. Fazit: Das war nicht unmöglich, sondern hier wurde einfach geschlampt.

dir ist klar wieviel aufwand es ist und wieviel aufwand apple wohl pro app(update) investiert.
alles eine frage des preises (und jetzt kommt nicht damit dass apple genug geld hat...)
0
cheesus1
cheesus111.11.15 15:54
gritsch
...dir ist klar wieviel aufwand es ist...
Das glaube ich kaum. Eine Kontrolle des Datenverkehrs ist absolut essentiell und dürfte mit wenigen technischen Mitteln machbar sein (siehe Little Snitch). Hier geht es um Sicherheit. Und die wird bei Apple sonst auch immer groß geschrieben.
0
Weitere News-Kommentare anzeigen

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.