Instagramアカウントと連携して「自分のプロフィールを見た人をチェックできる」と謳う人気アプリ「Who Viewed Your Profile - InstaAgent」が、実際にはユーザーのログイン情報を盗む悪質なアプリだったことが判明し、Google PlayおよびApp Storeから削除されました。
【最新】インスタグラムで相手を検索するとバレるのか? 足跡がわかる機能の仕様や閲覧履歴を確認できるアプリの有無について徹底解説
この問題はドイツのアプリ開発者David L-R氏が最初に発見し、Instagramのユーザー名とパスワードを抜き取って謎の外部サーバに送信されていることを報告しました。これら認証情報は、暗号化されない平文でアップロードされていたとのこと。
"Who Viewed Your Profile" #Instaagent will send your Instagram Username and Password to an unknown server! pic.twitter.com/8uZJljJdtO
— David L-R (@PeppersoftDev) 2015, 11月 10
InstaAgentは、イギリスやカナダでは無料アプリ1位を記録するほどの人気を集めており、50万人ものユーザーがこのアプリをダウンロードしてしまった可能性があるとみられています。実際にアカウントがハッキングされ、無断でプロフィールに広告画像が掲載されるなどの被害も出ているようです。
InstaAgentをインストールしてしまったユーザーは直ちにアンインストールし、Instagramはもちろん、使い回しているパスワードがあれば変更することが強く推奨されます。また、すでにInstaAgentは各アプリストアからは削除されていますが、“足跡”機能を謳うような類似アプリもまだ存在するため、注意が必要です。
I would say "Who Viewed Your Profile - InstaAgent" is the first malware in the iOS Appstore that is downloaded half a million times.
— David L-R (@PeppersoftDev) 2015, 11月 10
こうしたアプリがGoogle Playに存在、といった話はこれまで幾度も耳にしてきましたが、今回のケースでは厳格なAppleのApp Storeでもきちんと審査できず、多くのユーザーが危険に晒されたことが明らかになった格好です。今後もこうした巧妙なアプリが登場してくるとみられ、iPhoneだから、人気アプリだからといって油断できない状況になってきています。
