谁看了你的Instagram账户?又是谁盗了你的密码?
作者：鸢尾 FreeBuf
分类 : 比特网
　　移动应用程序目前已经成为最有效的攻击向量之一，这些罪犯最喜欢的一种方法便是流行应用程序的滥用。自己审视下是否在安装一款需求连接到社交应用账户凭证，电子邮件账户，服务的应用时有静下来细细考虑?
　　近日，一款名为“InstaCare – Who cares with me”(谁看了你的Instagram账户)的恶意应用通过应用商店，以及其他第三方应用商店流通。来自德国Peppersoft公司的David Layer-Reiss发现了该威胁，如果想更详细的分析可以查看它的分析博文。
　　该作为一个hook，引诱Instagram用户。假称能够让你得知谁看过的Instagram账户，但实际上它滥用连接Instagram的身份验证进程。
　　事实上，对于大部分应用程序来说使用API或者授权协议是一种常态，比如使用 来验证第三方应用程序。对于用户来说，这样做非常的方便，可以在不同的应用和服务之间使用相同的凭证来进行身份验证。
　　这里最大的问题是，针对这个特性，一些应用可以恶意获取用户的，例如他们的个人信息，联系人，再或者可以盗取他们的凭证。
　　这种方法非常成功。在这个特别的案例中，该应用的安卓版本就有超过10万台设备安装量，并且超过2万的评论信息。在这些评论信息中大部分都提示了需要进行支付才能够正常工作。
　　就Google Play应用商店来说，我们还可以看到一些用户抱怨安装出现的一些问题。
　　非常有趣的是，该应用是通过了检测并发布!尽管它对控制更严谨，但是并没有提到该作者有过发布恶意软件历史的信息。
　　攻击向量
　　该攻击将Javascript代码安置在Instagram登录页面的提交按钮中
　　该代码获取输入字段名““username”以及“password”的内容，将其以“,-UPPA-, ”的格式在“str”局部变量中，之后调用processHTML函数(存储有收集到的)
　　也会从用户设备中收集其他信息，然后通过POST请求发回到C&C服务器
　　“hash”参数的值为上图中的数据加上Instagram用户名及密码，这个值使用AES 128进行加密后使用base64进行编码，加密密钥是由生成。
　　在 iOS版本同样使用AES 128，但分组使用CBC替代ECB
　　因此，它使用字符串“IOS123SECRETKEYS”作为初始矢量。
　　打开后，它会迫使用户登录 Instagram
　　用户名和密码发送到服务器之后，还会发送一些元数据
　　因为我们已经获得ID，可以使用David修改后Java代码解密其中内容。我们仅需要修改初始化加密类。
　　通过输入“hash”参数的内容，我们可以解密数据，发送并找到已经发送到服务器上的信息。正如我们料想的一样， Instagram用户名和密码同样包含在这个列表中。
　　这些用户名和密码稍后将用于向用户的Instagram账户发送垃圾消息。
　　本文提到的威胁是由Kaspersky实验室检查发现的HEUR:Trojan-Spy.AndroidOS.Instealy.a 以及 HEUR:Trojan-Spy.IphoneOS.Instealy.a.
　　移动环境已经成为了网络罪犯们最喜好的目标之一，社交网络的出现在方便朋友间乐趣的同时，无疑也方便了恶意软件的分发，在安装应用之前最好是多多思考下。一般官方网站都不提供的服务，你一个第三方平台是通过何种方法去实现的呢?
[ 责任编辑：小石潭记 ]
比特网 15:31:26
带着朋友和机器人上月亮散步
软件信息化周刊
比特软件信息化周刊提供以数据库、操作系统和管理软件为重点的全面软件信息化产业热点、应用方案推荐、实用技巧分享等。以最新的软件资讯，最新的软件技巧，最新的软件与服务业内动态来为IT用户找到软捷径。
商务办公周刊
比特商务周刊是一个及行业资讯、深度分析、企业导购等为一体的综合性周刊。其中，与中国计量科学研究院合力打造的比特实验室可以为商业用户提供最权威的采购指南。是企业用户不可缺少的智选周刊！
比特网络周刊向企业网管员以及网络技术和产品使用者提供关于网络产业动态、技术热点、组网、建网、网络管理、网络运维等最新技术和实用技巧，帮助网管答疑解惑，成为网管好帮手。
服务器周刊
比特服务器周刊作为比特网的重点频道之一，主要关注x86服务器，RISC架构服务器以及高性能计算机行业的产品及发展动态。通过最独到的编辑观点和业界动态分析，让您第一时间了解服务器行业的趋势。
比特存储周刊长期以来，为读者提供企业存储领域高质量的原创内容，及时、全面的资讯、技术、方案以及案例文章，力求成为业界领先的存储媒体。比特存储周刊始终致力于用户的企业信息化建设、存储业务、数据保护与容灾构建以及数据管理部署等方面服务。
比特安全周刊通过专业的信息安全内容建设，为企业级用户打造最具商业价值的信息沟通平台，并为安全厂商提供多层面、多维度的媒体宣传手段。与其他同类网站信息安全内容相比，比特安全周刊运作模式更加独立，对信息安全界的动态新闻更新更快。
新闻中心热点推荐
新闻中心以独特视角精选一周内最具影响力的行业重大事件或圈内精彩故事，为企业级用户打造重点突出，可读性强，商业价值高的信息共享平台；同时为互联网、IT业界及通信厂商提供一条精准快捷，渗透力强，覆盖面广的媒体传播途径。
云计算周刊
比特云计算周刊关注云计算产业热点技术应用与趋势发展，全方位报道云计算领域最新动态。为用户与企业架设起沟通交流平台。包括IaaS、PaaS、SaaS各种不同的服务类型以及相关的安全与管理内容介绍。
CIO俱乐部周刊
比特CIO俱乐部周刊以大量高端CIO沙龙或专题研讨会以及对明星CIO的深入采访为依托，汇聚中国500强CIO的集体智慧。旨为中国杰出的CIO提供一个良好的互融互通 、促进交流的平台，并持续提供丰富的资讯和服务，探讨信息化建设，推动中国信息化发展引领CIO未来职业发展。
IT专家新闻邮件长期以来，以定向、分众、整合的商业模式，为企业IT专业人士以及IT系统采购决策者提供高质量的原创内容，包括IT新闻、评论、专家答疑、技巧和白皮书。此外，IT专家网还为读者提供包括咨询、社区、论坛、线下会议、读者沙龙等多种服务。
X周刊是一份IT人的技术娱乐周刊，给用户实时传递I最新T资讯、IT段子、技术技巧、畅销书籍，同时用户还能参与我们推荐的互动游戏，给广大的IT技术人士忙碌工作之余带来轻松休闲一刻。怎么才能删除手机qq聊天记录/怎么才能删除手机qq聊天记录__百度_经验
四川高校千人露天考试 老师用望远镜监考
　　怎么才能删除手机qq聊天记录,【百度推荐】―-黑客徽.信―【 ghei1468 】专业查询 微信,陌陌,Q.Q,邮箱以及各种聊天记录恢复与查询,专业手机定位,通话清单,短信内容,网站入侵等其他业务是您值得信赖的正确首选！lir,鄙视
金马骑士堂
希望大家陪我
石千山脸上顿时痉挛了一下
他虽然身形瘦弱
　　原标题：习近平：党政主要负责同志要亲力亲为抓改革扑下身子抓落实
　搜狐娱乐讯 3月25日晚，浙江卫视播出的大型励志梦想少女成长真人秀《天生是优我》的先导片。精彩的内容瞬间惊艳众人，在片中我们不仅可以看到教头带领少女们训练，还能看到罕见的高跟舞;而少女们也是各有特色，引起了观众对于节目的无限期待。
　　罗志祥担任女团总教头惹尖叫
　　《天生是优我》专注少女的个人成长，只设立一个总教头。一方面能够更加全面的贯彻少女的成长路线，另一方面也能让观众更多的将目光聚焦到少女身上，给予她们更多的发展空间。正是因为如此，总教头的人选也就显得至关重要。最终节目组选择邀请实力艺人罗志祥担任这个女团的掌舵人。
　　罗志祥出身团体组合，又有自己训练的男团，在教学方面自有一番心得。而他出众的唱跳功力，以及过人综艺才华更是让他拥有了数不尽的可用教材。在播出的先导片中，罗志祥就亲自穿上高跟鞋，为少女们示范舞蹈动作，尽显其深厚的舞蹈功底，惹来了阵阵尖叫。
　　除了在艺能上充分帮助少女成长外，罗志祥个人超强的综艺感也在先导片中一览无余。不经意的模仿，短小精湛的吐槽都让人捧腹不已，大大延伸了节目的可看性，也让少女们迅速适应了环境。
　　少女精彩表演好评如潮
　　作为一档少女成长真人秀，除了教头外，少女们的个人水平自然是众人关注的焦点。少女们也确实是颜值颇高，且各具特色。而先导片的播出更是向大家明确展现了她们的实力。在多人表演中，少女们的舞蹈整齐划一，歌声同样也是清透有力。而少女个人的solo部分更是独具迷人风情。如此精彩的表演，在网络上自然收获了如潮好评。
　　与此同时，少女们的个性也在先导片中得以体现。魏冰雪霸气十足的“大哥”范，队长马蜀君对于自我的严格要求，以及其它少女或可爱或高冷的特点均一一体现，成功圈住了不少的粉丝。
　　原创真人秀增添趣味
　　从先导片来看，真人秀部分无疑会成为《天生是优我》的重要组成部分，观众将会全程无死角的见证少女成长。通过舞台下的镜头，更进一步展示少女的情感羁绊，也为观众带来更多的趣味性。
　　除了歌舞表演，我们还在先导片中看到了罗志祥和少女的日常。罗志祥在教学时间模仿少女甩头跳舞的片段，兼具了搞笑和传神。而“体重过百没肉吃”等各种铁律也让我们理解到这群少女在训练中的不易。
　　据悉，《天生是优我》即将登陆浙江卫视，敬请期待。
责任编辑：李大胆
: 特朗普支持率创新低 却给自己业绩打满分
: 习近平访问瑞士 外媒：两国合作具有“先锋精神”
: 习近平同越共中央总书记举行会谈
: 2016中国法治进程年度突破 “终身监禁”：彰显司法惩腐力
: 人类活动"一夜间"致200多种新矿物产生
: 李克强同在华外国专家举行新春座谈会
: 应对空气污染 尼泊尔禁"高龄车"上路
: 总理关注的圆珠笔头终于造出来了，有望完全替代进口！
: 湖南“迷信厅官”受贿650万去跑官：命里要做大官
: 日本福岛近海5.6级地震东京有震感 无海啸预警
: 北京16区换届，那些“消失”的常委去哪儿了？
: 中纪委：实践探索在前、总结提炼在后
: 调查报告显示逾九成群众对反腐败工作成效满意
: 特朗普要求成立移民犯罪专门机构 为受害者发声
百度新闻源&& 05:57:00
　　　　编辑：
[] [] [] []
[] [] [] [][] []
网站：(022) 转 9008　
电台办公室：　
电台总编室：
本网站由天津人民广播电台版权所有,技术支持
Copyright 2003 - 2011All Rights Reserved
新闻中心重点栏目
新闻中心创新实验室
南方网官方微信
微信订阅号
新闻中心重点栏目
新闻中心创新实验室
南方网官方微信
微信订阅号instagram用户名和密码都忘记了怎么办
全部答案（共2个回答）
用手机上instagram
帐户 编辑个人资料
私人的信息中有登陆的邮箱帐号
你改密码时,是不是有特殊字符?如果使用手机绑定了facebook账号,可以直接重置下,或试着找回用户密码,你注册时留了邮箱的,凭邮箱找回密码,也就是重置密码,这...
instagram在中国大陆受限了、、
打开新浪微博，选择“登陆”，旁边会有提示“忘记密码” 选择忘记密码，写好邮箱后，会主动将用户名和密码发到你刚写的邮箱上，这个邮箱要和你注册时的邮箱是一样的。 点...
大家还关注
确定举报此问题
举报原因(必选)：
广告或垃圾信息
激进时政或意识形态话题
不雅词句或人身攻击
侵犯他人隐私
其它违法和不良信息
报告，这不是个问题
报告原因(必选)：
这不是个问题
这个问题分类似乎错了
这个不是我熟悉的地区