InstaAgent: Passwort-sammelnder Instagram-Client fliegt aus App Store und Google Play
Die App, die Nutzern verschiedene Zusatzinformationen zu ihrem Profil bei Facebooks populärem Foto-Dienst verspricht, sendete offenbar Instagram-Benutzernamen und Passwort im Klartext an einen Dritt-Server.
![InstaAgent](https://heise.cloudimg.io/width/610/q85.png-lossy-85.webp-lossy-85.foil1/_www-heise-de_/imgs/18/1/6/4/4/9/6/8/image-d6505b9dabcbc199.jpeg)
Apple und Google haben die App InstaAgent aus dem App Store respektive Google Play entfernt. Der Instagram-Client für iOS und Android versprach Nutzern, Zusatzinformationen zu ihrem Profil bei Facebooks Fotodienst anzuzeigen, beispielsweise welche Mitglieder das Profil betrachtet haben.
Den dafür hinterlegten Instagram-Benutzernamen sowie das Passwort übermittelte InstaAgent im Klartext an einen Dritt-Server, wie der Entwickler @PeppersoftDev berichtet. Offenbar veröffentlichte die App mit den gesammelten Account-Daten des Nutzers auch Spam-Beiträge unter dessen Profil auf Instagram.
InstaAgent war in verschiedenen Ländern zwischenzeitlich hoch in den iOS-Charts für kostenlose Apps platziert, darunter Großbritannien und Deutschland. Nach der Installationsangabe im Google-Play-Store wurde allein die Android-Version zwischen 100.000- und 500.000-Mal installiert.
Nutzer, die der App die Instagram-Zugangsdaten anvertraut haben, sollten unbedingt ihr Passwort ändern und die erteilten Zugriffsberechtigungen für Dritt-Apps bei dem Fotodienst prüfen. (lbe)