Instagram biztonsági rés lehetővé teszi a támadók számára a fényképek törlését és a fiókok átvételét

Instagram lehetett a legnépszerűbb és leggyakrabban használt fotómegosztó alkalmazás az iOS és az Android platformok számára, de mint minden más alkalmazás, ez nem tökéletes. Valójában egy újabb kiskaput fedeztek fel a közelmúltban. A szakértők szerint az új Instagram-védelmi hiba lehetővé teszi a támadók számára a fényképek törlését vagy akár fiókok átvételét is. A kiskaput az iOS eszközön futó 3.1.2.

Az Instagram API mind HTTP, mind HTTPS kapcsolatokat használ kérések és adatok küldéséhez. Az érzékeny információkat, mint például a profilszerkesztési adatokat és a bejelentkezési adatokat, gyakran HTTPS-en keresztül küldik, mert ez egy biztonságos csatorna. De a közelmúltban felfedezték, hogy a reventlov.com emberei bizonyos adatokat ténylegesen megküldenek a másik csatornán keresztül, így a támadók érzékenyek a kizsákmányolásra.

Ha az adatok HTTP-csatornán keresztül kerülnek elküldésre, akkor a szükséges hitelesítés egyetlen formája a szabványos cookie, amelyet gyakran titkosítatlanul küldünk minden alkalommal, amikor a felhasználó elindítja az Instagram-alkalmazást. Lehetséges, hogy az ugyanazon a hálózaton, mint az iPhone vagy az iPad, támadók átvehetik az adatokat egy egyszerű arpspoofing támadáson keresztül, és az információkat tetszés szerint kihasználhatják. Ha ez megtörténik, és a támadók képesek lesznek a hitelesített adatok alapján hitelesíteni, már rendelkeznek végső hozzáféréssel a fiókhoz, és bármikor megváltoztathatják a bejelentkezési adatokat és törölhetik a képeket.

Azok az emberek, akik felfedezték a hibát, november 10-én nyilvánosságra hozták, és egy nappal később kapcsolatba léptek az Instagram-szal, de mindegyikük automatikus válasz volt. Eddig ez a probléma továbbra is folyamatban van, így az iOS eszköz tulajdonosai, akik gyakrabban használnak Instagramot, többnyire a HTTPS csatornát használják, vagy soha nem használhatnak egyetlen nyílt WiFi hozzáférési pontot.

Ez a probléma csak az Instagramra vonatkozik, de gyakrabban a támadók pontosan tudják, hogy mit találjanak, hogy hozzáférjenek más fiókokhoz, beleértve a Facebookot, a Twitteret és még az e-maileket is. Elővigyázatossági intézkedéseket kell tenni különösen azok számára, akik érzékeny adatokat tárolnak az eszközökön.

[Forrás: Reventlov]