Обнаружена серьезная уязвимость в Android-версии Instapaper

Специалисты компании Bitdefender обнаружили в Android-версии популярного приложения Instapaper серьезную уязвимость. Эксплуатация бреши позволяет осуществить атаку «человек посередине». В случае, если пользователь подключен к сети Wi-Fi, которая контролируется злоумышленником, трафик может быть перехвачен при помощи поддельного сертификата и специального ПО, что позволяет похитить учетные данные.

Instapaper - это приложение для чтения web-публикаций, которое доступно для устройств на базе iOS и Android. Приложение позволяет скачивать статьи из Сети и сохранять их для чтения в любой удобный момент (например, когда пользователь не имеет доступа к интернету или путешествует).

Версия приложения для мобильных устройств сохраняет большинство web-страниц в текстовом формате. Для того чтобы использовать такие расширенные функции, как возможность создания заметок или отметок «нравится», требуется регистрация. По словам специалистов Bitdefender, уязвимость возникает не из-за механизма конвертации содержимого web-страницы в текст, а из-за отсутствия проверки сертификата.

Инструмент TrustManager проверяет подлинность цепочки сертификатов, а затем разрешает либо запрещает осуществление аутентификации клиента/сервера. В случае отсутствия реализации TrustManager, злоумышленник может имитировать сервер Instapaper, а затем осуществить атаку «человек посередине» для хищения учетных данных.

Представитель Instapaper сообщил ресурсу ZDNet, что проблема с проверкой сертификатов, которую обнаружили эксперты Bitdefender, уже исправлена в версии приложения для Android 4.4.2.