Car-tech

Luka na Instagramie na iPhone'a pozwala na przejęcie konta

MOJA EX POZNAŁA SIĘ Z MOJĄ DZIEWCZYNĄ!🤷🏻‍♂️🙈 | LUKA

MOJA EX POZNAŁA SIĘ Z MOJĄ DZIEWCZYNĄ!🤷🏻‍♂️🙈 | LUKA
Anonim

Badacz bezpieczeństwa opublikował w piątek kolejny atak na usługę udostępniania zdjęć na Instagramie Facebooka, która może umożliwić hakerowi przejęcie kontroli nad kontem ofiary.

Atak został opracowany przez Carlosa Reventlova około podatność wykryta na Instagramie w połowie listopada. Powiadomił Instagram o problemie 11 listopada, ale od ostatniego wtorku nie został on naprawiony.

Luka w zabezpieczeniach znajduje się w wersji 3.1.2 aplikacji Instagrama, wydanej 23 października na iPhone'a. Reventlov stwierdził, że podczas gdy niektóre wrażliwe czynności, takie jak logowanie i edycja danych profilu, są szyfrowane po wysłaniu na Instagram, inne dane zostały wysłane w postaci zwykłego tekstu. Testował dwa ataki na iPhone'a 4 z systemem iOS 6, na którym pierwszy raz znalazł problem.

[Czytaj dalej: Jak usunąć złośliwe oprogramowanie z komputera z Windows]

"Kiedy ofiara uruchamia aplikację Instagram, zwykły -tekst cookie jest wysyłany na serwer Instagram - napisał Reventlov. "Gdy atakujący otrzyma plik cookie, jest w stanie wytworzyć specjalne żądania HTTP dotyczące pobierania danych i usuwania zdjęć."

Plik cookie ze zwykłym tekstem może zostać przechwycony za pomocą ataku man-in-the-middle, o ile haker jest w tej samej sieci lokalnej (LAN), co ofiara. Po otrzymaniu pliku cookie haker może usunąć lub pobrać zdjęcia lub uzyskać dostęp do zdjęć innej osoby, która przyjaźni się z ofiarą.

Duńska firma ochroniarska Secunia zweryfikowała atak i wydała zalecenie.

Reventlov kontynuował naukę potencjał luki i okazało się, że problem z plikiem cookie może również umożliwić hakerowi przejęcie konta ofiary. Ponownie, atakujący musi znajdować się w tej samej sieci LAN co ofiara.

Kompromis wykorzystuje metodę zwaną spoofing ARP (Address Resolution Protocol), w której ruch sieciowy urządzenia mobilnego ofiary jest kierowany przez komputer atakującego. Reventlov napisał, że możliwe jest przechwycenie pliku cookie w postaci zwykłego tekstu.

Korzystając z innego narzędzia do modyfikowania nagłówków przeglądarki podczas transmisji na serwery Instagrama, można następnie zarejestrować się jako ofiara i zmienić ofiary adres e-mail, powodujący naruszenie konta. Poprawka na Instagram jest łatwa: witryna powinna zawsze używać HTTPS dla żądań API, które mają wrażliwe dane, napisał Reventlov.

"Stwierdziłem, że wiele aplikacji na iPhone'a jest podatnych na takie rzeczy, ale nie wiele z nich jest znanych takie aplikacje jak Instagram ", napisał Reventlov w wiadomości e-mail do IDG News Service.

Ani urzędnicy Instagram, ani Facebook nie mogli być od razu dostępni w poniedziałek. Reventlov napisał w swoich poradnikach, że otrzymał automatyczną odpowiedź, kiedy poinformował Instagram o tym problemie.

Prześlij porady i komentarze na adres [email protected]. Obserwuj mnie na Twitterze: @jeremy_kirk