谁看了你的Instagram账户?又是谁盗取了你的密码?
移动应用程序目前已经成为最有效的攻击向量之一,这些网络罪犯最喜欢的一种方法便是流行应用程序的滥用。自己审视下是否在安装一款需求连接到社交应用账户凭证,电子邮件账户,云存储服务的应用时有静下来细细考虑? 近日,一款名为“InstaCare – Who cares with me”(谁看了你的Instagram账户)的恶意应用通过Google Play应用商店,以及其他第三方应用商店流通。来自德国Peppersoft公司的David Layer-Reiss发现了该威胁,如果想看看更详细的分析可以查看它的分析博文。 该应用服务作为一个hook,引诱Instagram用户。假称能够让你得知谁看过的Instagram账户,但实际上它滥用连接Instagram的身份验证进程。 事实上,对于大部分应用程序来说使用API或者授权协议是一种常态,比如使用OAuth 来验证第三方应用程序。对于用户来说,这样做非常的方便,可以在不同的应用和服务之间使用相同的凭证来进行身份验证。 这里最大的问题是,针对这个特性,一些应用可以恶意获取用户的信息,例如他们的个人信息,联系人,再或者可以盗取他们的凭证。 这种方法非...
