Vulnerabilitatea Instagram pe iPhone permite preluarea contului

Un cercetător de securitate a publicat vineri un alt atac împotriva serviciului Facebook de partajare a fotografiilor, care ar putea permite unui hacker să profite de controlul unui cont al victimei.

Atacul a fost dezvoltat de Carlos Reventlov în jurul unui vulnerabilitate pe care la găsit la Instagram la jumătatea lunii noiembrie. El a notificat-o pe Instagram despre problema pe 11 noiembrie, dar din ultima marți nu a fost rezolvată.

Vulnerabilitatea este în versiunea 3.1.2 a aplicației Instagram, lansată pe 23 octombrie, pentru iPhone. Reventlov a constatat că, în timp ce anumite activități sensibile, cum ar fi autentificarea și editarea datelor de profil, sunt criptate când sunt trimise către Instagram, alte date au fost trimise în text simplu. El a testat cele două atacuri pe un iPhone 4 care rulează iOS 6, unde a găsit prima dată această problemă.

[Citirea suplimentară: Cum să eliminați programele malware de pe PC-ul Windows]

"Când victima pornește aplicația Instagram -texte cookie este trimis pe serverul Instagram ", a scris Reventlov. "Odată ce atacatorul primește cookie-ul, acesta poate să efectueze cereri HTTP speciale pentru obținerea de date și ștergerea fotografiilor."

Cookie-ul text simplu poate fi interceptat folosind un atac de tip "man-in-the-middle", atâta timp cât este hackerul pe aceeași rețea locală (LAN) ca victimă. Odată ce cookie-ul a fost obținut, hackerul poate șterge sau descărca fotografii sau accesa fotografiile unei alte persoane care este prietenă cu victima.

Compania daneză de securitate Secunia a verificat atacul și a emis un aviz consultativ. potențialul vulnerabilității și găsirea problemei cookie-urilor ar putea, de asemenea, permite hackerului să preia contul victimei. Din nou, atacatorul trebuie să se afle în aceeași rețea LAN ca și victima.

Compromisul folosește o metodă numită "spoofing ARP (Address Resolution Protocol"), în care traficul web al dispozitivului mobil al victimei este canalizat prin intermediul computerului atacatorului. Reventlov a scris că este posibil să interceptezi cookie-ul textului simplu.

Folosind un alt instrument pentru a modifica anteturile unui browser web în timpul transmiterii către serverele Instagram, este posibil să te autentifici ca victimă și să schimbi victima adresa de e-mail, rezultând un cont compromis. Soluția pentru Instagram este ușor: site-ul ar trebui să utilizeze întotdeauna HTTPS pentru solicitările API care au date sensibile, a scris Reventlov.

"Am constatat că multe aplicații pentru iPhone sunt vulnerabile la astfel de lucruri, dar nu prea multe sunt de mare profil aplicații cum ar fi Instagram ", scrie Reventlov într-un e-mail la serviciul de știri IDG.

Nici oficiali de la Instagram, nici Facebook nu au putut fi contactați imediat luni. Reventlov a scris în avizele sale că a primit un răspuns automat atunci când ia spus lui Instagram despre această problemă.

Trimiteți sfaturi pentru știri și comentarii la [email protected]. Urmați-mă pe Twitter: @jeremy_kirk