Apple ha rimosso dall’App Store InstaAgent, un’app legata a Instagram che prometteva di tracciare gli utenti che visitano il proprio account Instagram. L’app in questione, a quanto pare, memorizzava username e password Instagram dell’utente, inviando i dati a server remoti sospetti.
Uno sviluppatore di Peppersoft ha scaricato l’app InstaAgent (il cui nome completo era “Who Viewed Your Profile – InstaAgent”) scoprendo che username e password dell’account Instagram erano letti e inviati come testo in chiaro al server remoto instagram.zunamedia.com. Username e password dell’utente erano sfruttati per eseguire il login e pubblicare immagini senza autorizzazione. Instagram non permette ad app di terze parti di eseguire l’upload di foto sfruttando l’account di un utente.
L’app InstaAgent non è particolarmente popolare ma in alcuni paesi (es. Regno Unito e Canada) è nei primi posti delle app gratuite più scaricate, mettendo potenzialmente a rischio gli utenti Instagram. Sul Google Play store, l’app vanta fino a 500.000 utenti, una base di utenti che potrebbe vantare numeri simili anche su iOS.
Google ha rimosso l’app InstaAgent per Android dal Play store, ma la versione per iOS -era fino a ieri- è ancora scaricabile. Se avete scaricato l’app in questione, il consiglio è di eliminarla e modificare la password dell’account Instagram, avendo l’accortezza di cambiare la password anche di altri account se per questi usate la stessa password sfruttata per Instagram.
Gli sviluppatori di Instagram consigliano di non concedere mai a terzi l’accesso a siti Web o applicazioni che non rispettano le loro Linee guida o Condizioni d’uso (compresi siti Web che vendono o promettono seguaci o “Mi piace”), poiché potrebbe trattarsi di tentativi di utilizzare l’account in modo inappropriato.