Kolmannen osapuolen asiakasohjelmien käyttö on aina huono idea. Aivan kuten tässäkin tapauksessa, ne voivat varastaa sinun kirjautumistietosi tai niiden suojaukset ovat muutoin niin heikot, että joku ulkopuolinen hyökkääjä voi pystyä murtautumaan ohjelman keräämiin tietoihin. Tällaisia tapauksia on nähty esimerkiksi Snapchatin kohdalla. On siis aina suositeltavaa käyttää palvelun kehittäjän tarjoamaa sovellusta.
Intagram-käyttäjiä houkuteltiin lataamaan InstaAgent lupaamalla paljastaa ketkä katsovat milloinkin sinun profiiliasi. Pelkästään Google Play Storen kautta sovellusta oli ladattu 100.000–500.000 kertaa. Ohjelma sijoittui Britannian, Kanadan ja Saksan App Store -kaupoissa ilmaisten ohjelmien listoilla hyvin.
Jos käytit kyseistä sovellusta, niin ohjelma kannattaa mahdollisimman pikaisesti poistaa puhelimesta ja vaihtaa sen jälkeen Instagram-salasana. Mikäli käytit samaa sanaa muissakin palveluissa, niin vaihda niidenkin salasanat (älä käytä enää samaa salasanaa).
Tapauksessa on syytä osoittaa sormea myös Googlen ja Applen suuntaan. Niiden ei pitäisi päästää tällaisia haittaohjelmia sovelluskauppoihinsa.
"Who Viewed Your Profile" #Instaagent will send your Instagram Username and Password to an unknown server! pic.twitter.com/8uZJljJdtO
-- David L-R (@PeppersoftDev) November 10, 2015
Kommentit (9)
Tavallaa joo.
En ohjelman toiminnasta ihan saanut selko, uutisen perusteella vaikutti siltiä että ohjelmassa ei välttämättä mitään outoa toiminnallisuutta, ohjelman (ja sen palvelun) omien salasanojen käsittely ilmeisesti vähän heikohkoa, se jäi epäselväki mistä tiedetään että tallentaa luettavassa muodossa palvelimelle, jos ei edes tunneta palvelimen toimintaa, vai tarkoittaako tuo että siirretaan palvelimelle luetettavassa muodossa ?
Jos halutaan että Apple ja Google karsii moiset sovellukset ennakkoon, niin hyväksyntä prosessi harppaisia montapykällää vaativammaksi (kalliiksi) -> tiputtaisi pienen rusurssin kehittäjät auttamatta pois. Kannattaa muistaa että iOS osalta Applen kauppa ainoa jakelutie, Googlen Android osalta usein ainoa oletusasetuksin.
Vähän kovaa tekstiä kehittää välttämään indie developerien sovelluksia. Esimerkiksi Rudy Huyn on tehnyt upeita sovelluksia Windows Phonelle jotka ovat mahdollistaneet palvelujen käytön a) palvelun tarjoajan clienttia paremmalla sovelluksilla b) silloin kun virallista sovellusta ei ole.
Mielestäni yksi tämän ajan hienoista puolista on se, että lahjakkaat koodarit pystyvät luomaan ja levittämään ohjelmiaan - ei pelkästään megalomaaniset korporaatiot.
Tarkoittaa, että softa lähettää käyttäjän tunnuksen ja salasanan selväkielisenä jonnekin.
Se riippuu ihan mitä "moisella" haluaa tarkoittaa. Jos puhutaan täsmälleen tämänkaltaisesta typeryydestä, ei sen testaaminen ole vaikeata. Proxy väliin ja katsotaan meneekö tunnus ja salasana selväkielisenä.
Toki jos puhutaan tällaisen toiminnan täydellisestä estämisestä, on se jokseenkin mahdotonta.
Kiitos selvennyksestä.
Jos käyttänyt epäluotettuja yhteyksiä niin riski tosiaan on.
Ja kuvaaa se toki toimijan toimintatapoja, eli ei välttämättä muutenkaan luottamuksen arvoista.
Testaamisen kannalta varmaan hyvä jos liikenne on selväkielistä :-) .
mm. email, web selaimat + liuta muita poistuisi kaupoista.... jos tunnus ja/tai salasanoja ei saisi selväkielisenä liikkua.
Mutta juu, osa jutuista on automaattitesteissa testattavissa, mutta jos ohjelma tekee tietoisesti "vääriä" asioita, esim jos se pahuus tehdään muualla, esim se salasana kysytään käyttäjältä, salattuna lähetetään palvelimelle, jossa sitä sitten käistellään ehkä jopa vihamielisesti. jälkimmäisen testaamiine jo itsessään kallista, saati ulkopuolinen jatkuva valvominen.
Kannata edelleen useampitasoista hyväksyntää, jossa käyttäjä voi nähdä ja jopa rajata näkymään vain tarkemman ja vaativamman tarkastelun käyneet sovellukset. Jos sovelluksen latausmäärät kasvaa (leviää) niin tarkemman syynnin alaiseksi, riippumatta siitä haluaako julkaisia moista.
Mitäköhän nyt mahdat tarkoittaa?
Tunnus saa liikkua, salasana ei. Ja ihan aikuisten oikeasti mitään syytä salasanan lähettämiseen selväkielisenä serverille ei ole. Kuten ei salasanan tallennukseen serverillä.
välityspalvelimella voi tutkia salaamatonta paljon helpommin, siis helpompi tutkia sitä ohjelman liikennettä.
En tiedä tutkivatko, ja jos tutkivat niin tutkivatko myös salattuja.
Kaikki ei tue salausta, joten monien ohjelmien välttämätöntä tukea salaamatonta.
Jolloin suoranviivainen, salasana liikkuu selväkielisenä -> ohjelma pois. ei toimi.
Useissa tilanteissa myös se tunnuskin pitää salata, salaamaton käsittely ei siis aina salittua.
Jos ja kun silla kaupalla voi olla yksinoikeus sovelluste jakeluun, niin sen pitää olla myös aika vapaamielinen mitä kaupassa voi olla. Kun kyse vielä mailmanlaajuisesta touhusta, niin jossain joku voi olla laitonta, siinä missä se toisaalla on tapa.
Jos ja kun sekä proxy että laite jolla testataan on testaajan kontrollissa, menee setuppiin 5-10 min ja se tarvitaan tehdä tasan kerran.
Vuosi on 2015, järkevät syyt esim. https:n käyttämättä jättämiseen ovat erittäin vähissä ja Apple tiukentaa ohjeistustaan tämän suhteen koko ajan, ja valvoo sitä.
Vaikka koko liikennettä ei jostain ihmeellisestä syystä salattaisi ei salasanan lähetys selväkielisenä ole kuitenkaan suotavaa eikä tarpeellista, vaan ainoastaan laiskaa ja typerää.
En nyt taas ymmärrä pointtiasi. Tottakai sen tunnuksen saa salata, mutta aika usein se on enemmän tai vähemmän julkinen tai ainakin helposti arvattavissa, *toisin kuin salasana*, jota ei pidä lähettää ikinä selväkielisenä serverille, etenkään tunnuksen kanssa eikä sitä pidä ikinä tallentaman tietokantaan selväkielisenä.
Ei tarvitse olla "vapaamielinen". Kauppaan pääsy ole mikään perustavaa laatua oleva oikeus. Ja missään tapauksessa ei pidä sallia käyttäjiä vaarantavia käytäntöjä, joiden puolesta yrität jostain ihmeellisestä syystä advokoida.
Apple kiristi verkkoliikenteen säädöksiä ios9:ssa ja uudessa OSX:ssa. Kiristää lisää tulevina vuosina. Ja ihan syystä.
Salasanan lähetys selväkielisenä on ihan universaalisti typerää, ja varastaminen liki rikollista ei siihen ole mitään poikkeuksia.
Muistelin kuinka pitkään itsellä meni vastaavan setupin laittamiseen kun tarvitsin sitä testaukseen.
Sen jälkeen kun laitteelle ja proxylle on laitettu asetukset kuntoon näkyy salattu liikenne täysin samalla tavalla kuin salaamaton. Ei siis mitään eroa vaikeusasteessa sen ensimmäisen 5-10min jälkeen.
Kaikki mitä app storeen laitetaan tänä vuonna pitäisi olla tämän vuoden kamaa. Ja ei niitä syitä ollut kauheasti edes vuonna 2008, kun iOS kehitys tuli mahdolliseksi.
Pystytkö antamaan esimerkin jostain hyvästä syystä olla käyttämättä salattua verkkoliikennettä?
Ei tietenkään tehdä, uudet säännöt koskevat uusia submissioita.
Säännökset eivät näy *käyttäjille* millään tavalla suoraan. Ne vaikuttavat kehittäjiin, jotka joutuvat tekemään lisätyötä *elleivät* ole jo tehneet asioita, kuten on kehoitettu viimeiset 5-10v Applen ja ihan jokaisen muun internettoimijan taholta.
Voisitko avata, millä tavalla käyttäjien turvallisuudesta huolehtiminen ei ole hyvä juttu?
Voitko antaa edes yhden esimerkin jossa salasanan lähetys selväkielisenä ei ole typerää? Itse en pysty sellaista keksimään vaikka ihan oikeasti yritän miettiä.
Käyttäjä käyttää mitä käyttäjälle annetaan, turvallisuus on enimmäkseen kehittäjän/palveluntarjoajan vastuulla ja on erittäin hyvä että Apple kiristää sääntöjä koko ajan. Kaikki hyötyvät, osa kehittäjistä joutuu tekemään hieman lisätyötä.
Jaa sulla sellainen proxy jolla salatun liikenne näkyy samalla tavalla kuin salaamaton, niin aika pro juttuja, ja salaaminen olisi yhtä tyhjänkanssa.
Vaihtoehtosiesti sillä sun proxyllä ei paljon saanut siitä salaamattomastakaan irti.
Joillain voi olla elämää sen hiekkalaatikon ulkopuolella. käyttää jotain muutakin kuin Apple OK 2015 palveluita., jollain voi olla jopa vanhempi Apple tuote.
Tamankauden Omena laatikon ulkopuolella on paljon asioita jotka eivät tue salausta. Eli ei vaihtoehtoa.
Syy miksi ei tuettua voi olla useita, tai voi olla kyse yhteensopivuuksista.
Jos nyt mennään tällä ajatuksella että Apple kieltäisi ohjelmat jotka lähettävät salasanan salaamatta, niin se tarkoittaisi ettei selalisia ohjelmia olisi, se tarkoittaisi ettei käyttäjät voisi käyttää mitään selalista joka ko. ominaisuuden tarvitsee.
Eli vaikutus olisi osalle käyttäjiä merkittävä.
Jos käyttäjätunnuksen salaamaton käsittely ei ole typerää, niin ei välttämättä salasanankaan.
Jos salasana on aidosti satunnainen, uniikki, niin jos se käytön yhteydessä vuotaa sivullisille niin mitä sitten, salaamaton käyttäjätunnus voi siis olla typerämpää.
Typerää tai ei, niin tänäpäivänäkin salasanoja liikutellaan salaamattakin, kyse enemminkin siitä että se on helppoa ja tehokasta, ja voi olla riskeiltään riittävän matala.
Esim sähköpostilla lähetetään yllättävän paljon salasanoja, SMS, jne.
Paljon on "palvelimia" (laitteita) joihin ei salausta, tai salaus luokaa enemmän harmia. Ei välttämättä ongelma. jos lisäksi yhteys suht turvallinen, niin ajaa asian.
Eikä se välttämättä ole ongelma esim isolla julkisella FTP palvelimella, yhteensopivuus voi olla tärkeämpää kuis suojaus.
Ajan takaa että mahtikäsky kieltää ohjelmat jotka lähettää salaamattomasti salasanan on typerän kuuloinen ajatus, ei sovi edes sinne Applen laatikkoon. (siellä myös tavallisia käyttäjiä)
Luonnollisesti kyllä kannatan salauksen käyttö kun se vain mahdollista, jopa tälläisisssä uutiskommenteissa. Ja nimenomaan kannata sitä että käyttäjille kerrotaan ohjelmien tieturva riskeistä.