MOJA EX POZNAŁA SIĘ Z MOJĄ DZIEWCZYNĄ!??♂️? | LUKA
Badacz bezpieczeństwa opublikował w piątek kolejny atak na usługę udostępniania zdjęć na Instagramie Facebooka, która może umożliwić hakerowi przejęcie kontroli nad kontem ofiary.
Atak został opracowany przez Carlosa Reventlova około podatność wykryta na Instagramie w połowie listopada. Powiadomił Instagram o problemie 11 listopada, ale od ostatniego wtorku nie został on naprawiony.
Luka w zabezpieczeniach znajduje się w wersji 3.1.2 aplikacji Instagrama, wydanej 23 października na iPhone'a. Reventlov stwierdził, że podczas gdy niektóre wrażliwe czynności, takie jak logowanie i edycja danych profilu, są szyfrowane po wysłaniu na Instagram, inne dane zostały wysłane w postaci zwykłego tekstu. Testował dwa ataki na iPhone'a 4 z systemem iOS 6, na którym pierwszy raz znalazł problem.
[Czytaj dalej: Jak usunąć złośliwe oprogramowanie z komputera z Windows]"Kiedy ofiara uruchamia aplikację Instagram, zwykły -tekst cookie jest wysyłany na serwer Instagram - napisał Reventlov. "Gdy atakujący otrzyma plik cookie, jest w stanie wytworzyć specjalne żądania HTTP dotyczące pobierania danych i usuwania zdjęć."
Plik cookie ze zwykłym tekstem może zostać przechwycony za pomocą ataku man-in-the-middle, o ile haker jest w tej samej sieci lokalnej (LAN), co ofiara. Po otrzymaniu pliku cookie haker może usunąć lub pobrać zdjęcia lub uzyskać dostęp do zdjęć innej osoby, która przyjaźni się z ofiarą.
Duńska firma ochroniarska Secunia zweryfikowała atak i wydała zalecenie.
Reventlov kontynuował naukę potencjał luki i okazało się, że problem z plikiem cookie może również umożliwić hakerowi przejęcie konta ofiary. Ponownie, atakujący musi znajdować się w tej samej sieci LAN co ofiara.
Kompromis wykorzystuje metodę zwaną spoofing ARP (Address Resolution Protocol), w której ruch sieciowy urządzenia mobilnego ofiary jest kierowany przez komputer atakującego. Reventlov napisał, że możliwe jest przechwycenie pliku cookie w postaci zwykłego tekstu.
Korzystając z innego narzędzia do modyfikowania nagłówków przeglądarki podczas transmisji na serwery Instagrama, można następnie zarejestrować się jako ofiara i zmienić ofiary adres e-mail, powodujący naruszenie konta. Poprawka na Instagram jest łatwa: witryna powinna zawsze używać HTTPS dla żądań API, które mają wrażliwe dane, napisał Reventlov.
"Stwierdziłem, że wiele aplikacji na iPhone'a jest podatnych na takie rzeczy, ale nie wiele z nich jest znanych takie aplikacje jak Instagram ", napisał Reventlov w wiadomości e-mail do IDG News Service.
Ani urzędnicy Instagram, ani Facebook nie mogli być od razu dostępni w poniedziałek. Reventlov napisał w swoich poradnikach, że otrzymał automatyczną odpowiedź, kiedy poinformował Instagram o tym problemie.
Prześlij porady i komentarze na adres [email protected]. Obserwuj mnie na Twitterze: @jeremy_kirk
Udostępnianie plików systemu Windows Zero-Day pozwala na przejęcie PC
Zgodnie z nowym zaleceniem firmy Microsoft dotyczącym zabezpieczeń, błąd SMB, który może być w celu spowodowania awarii można również użyć do przejęcia kontroli nad podatnym komputerem.
Luka w dziale Yahoo, która pozwalała na przejęcie kont e-mailowych
Hakerzy za niedawno wykrytą kampanię ataku wykorzystują lukę w witrynie Yahoo w celu przejęcia e-maila konta użytkowników Yahoo i wykorzystują je do rozsyłania spamu.
Jak usunąć zapamiętane konta na Instagramie
Czy Instagram zapisał dane logowania? Oto jak usunąć zapamiętane konta Instagram z logowania.