なぜ審査通過するのか―Instagramの足あとアプリ、またもIDとPASS抜き取り

 
Instagramのクライアントアプリ「InstaAgent」が実際はユーザーのIDとパスワードを盗み取っているマルウェアだった事件で、同アプリが再度名前を変えてApp Storeにこっそりと復活していることが分かりました。

またもや審査をくぐり抜け…

人気SNSであるInstagramの足あとチェックアプリ「InstaAgent」が、ユーザーが自身のアカウントをチェックした訪問者を確認できるというクライアントに見せかけて、実際は個人データを抜き取るマルウェアだったという事件（すでにストアから削除済み）を昨年11月にお伝えしましたが、同アプリが今度は「Who Cares With Me – InstaDetector」「InstaCare – Who Cares With Me」と名前を変えて、App Storeで復活していたことが分かりました。
 

 
発見者のDavid L-R氏によると、今回のアプリも以前と同様、悪意のあるHTTPSパケットを埋め込んでおり、ユーザー名とパスワードをサードパーティのサーバーに転送する仕組みになっていたそうです。
 
アプリのレビューをみると、「ハッキングされた」「広告画像が勝手にアップロードされた」などの非難が並んでおり、「InstaAgent」の時と全く同じ顛末となっているだけに、厳格なはずのアップルによる審査でこのようなアプリがなぜ再度平然と通過してしまうのか、疑問に感じるユーザーがいてもおかしくはないでしょう。
 
なおInstagramは公式に、足あとがチェックできるからといってサードパーティアプリを利用しないよう注意を呼びかけています。
 
 
Source：Mac Rumors
(kihachi)