InstaAgent, una aplicación para saber quién visita tu perfil de Instagram, está robando las contraseñas de sus usuarios y publicando en su nombre.
Malas noticias para los usuarios que se la hayan descargado, y también para Apple, a quien se le ha colado una aplicación malvada en la App Store. Y lo que es peor: está siendo bastante lenta para tomar medidas. Es la aplicación InstaAgent, una aplicación que se conecta a tu cuenta de Instagram para mostrarte los perfiles que han visitado tu perfil.
Yo caí. Por aquello de probar todo lo que va saliendo, ver si podía dar un resultado creíble, qué tipo de argumento usaba como para haber podido pasar el filtro de la App Store y con la seguridad InstaAgent publica imágenes en tu nombre, sin permiso, y envía tu contraseña sin cifrar a un servidor externo.de que en el peor de los casos podría revocar el acceso de esta aplicación. Ya que viene con la garantía de que Apple ha aprobado la app, ¿qué podía ocurrir? Vaya que si ocurrió. Y de hecho, varias personas en mi timeline de Instagram están igual, también he llegado a ver la misma imagen publicada por ellos.
Lo que hace esta aplicación una vez recuerda tu contraseña es mostrarte una lista de usuarios (a saber en base a qué), y ya, poco más puede hacer por ti en ese momento. Unas horas después, publicó una foto en mi perfil con publicidad de la propia aplicación, por supuesto sin mi consentimiento ni preguntarme de alguna forma. En ese momento todo empezó a olerme mal. No sólo por el hecho de que publicase la imagen, sino también porque en los permisos que solicitaba en el momento de instalarse, en ningún momento decía nada de publicar imágenes. Y de hecho, me sonaba que esta "característica" no estaba permitida por Instagram.
Accedí a la web de Instagram, inicié sesión y revoqué el acceso de esta aplicación. "Fin", pensé. No. Hoy me volvieron a avisar de que volvió a ocurrir. Esto ya era demasiado. Hora de cambiar la contraseña. Por suerte, todas mis contraseñas son diferentes y generadas con 1Password, así que no corría el peligro de que los creadores de la aplicación pudiesen tener mi contraseña para otros servicios.
Si tú también instalaste esta aplicación y le diste acceso a tu cuenta de Instagram, los pasos a seguir ahora son sencillos:
Accede a la web de Instagram, y desde ahí a la gestión de aplicaciones. Revoca el acceso de InstaAgent y, de paso, de todas las aplicaciones que ya no uses o no te sean familiares.
Cambia tu contraseña de Instagram. Y si puedes, cierra el círculo: que todas tus contraseñas sean diferentes, y usando un gestor como 1Password o Lastpass.
En la App Store española figura ahora mismo dentro del Top 10, entre aplicaciones como Facebook, WhatsApp, la suite iWork y compañía. En otras regiones, como la canadiese, ha llegado a ser la aplicación gratuita más descargada.
Como explicaban en MacRumors, un desarrollador decompiló InstaAgent y comprobó que, en efecto, está enviando las contraseñas que los usuarios le proporcionan, sin encriptación alguna, a un servidor remoto. Su conclusión, demoledora. "El primer malware de la App Store con medio millón de descargas".
I would say "Who Viewed Your Profile - InstaAgent" is the first malware in the iOS Appstore that is downloaded half a million times.
— David L-R (@PeppersoftDev) November 10, 2015
Google ya ha eliminado InstaAgent de la Play Store, pero todavía permanece en la App Store en el momento de escribir estas líneas.
Continúar leyendo...