Instagram varnostna vrzel omogoča napadalcem, da izbrišete fotografije in prevzamejo račune

Instagram je lahko postal najbolj priljubljena in najbolj uporabljena aplikacija za delitev fotografij tako za platforme iOS in Android, vendar tako kot katera koli druga aplikacija ni popolna. Pravzaprav je bila nedavno odkrita nova vrzel. Po mnenju strokovnjakov lahko nova varnostna napaka Instagrama napadalcem omogoči brisanje fotografij ali celo prevzemanje računov. Vrzel je bila odkrita v različici Instagram 3.1.2, ki se izvaja na napravi iOS.

Instagram API uporablja tako HTTP kot HTTPS povezave za pošiljanje zahtev in podatkov. Občutljive informacije, kot so podatki za urejanje profila in poverilnice za prijavo, se pogosto pošiljajo prek protokola HTTPS, ker je zaščiten kanal. Vendar so ljudje na reventlov.com pred kratkim odkrili, da so nekateri podatki dejansko poslani z drugim kanalom, zaradi česar so nekateri napadalci ranljivi za izkoriščanje, ki so morda poznali vrzel.

Če se podatki pošiljajo prek HTTP kanala, je edina potrebna avtentifikacija standardni piškotek, ki se pogosto pošlje brez šifriranja vsakič, ko uporabnik zažene aplikacijo Instagram. Napadalci, ki bi lahko bili v istem omrežju kot z iPhoneom ali iPadom, bi lahko prestregli podatke s preprostim napadom v arpspoofing in lahko uporabijo informacije po lastni želji. Če se to zgodi, in napadalci lahko potrdijo pristnost z zajetimi informacijami, že imajo popoln dostop do računa in lahko kadar koli spremenijo poverilnice za prijavo ali izbrišejo fotografije.

Ljudje, ki so odkrili napako, so jo objavili 10. novembra in dan pozneje so se obrnili na Instagram in vse, kar so dobili, je bil avtomatiziran odziv. Do sedaj je to vprašanje še vedno v teku, zato bi morali lastniki naprav iOS, ki bi morda bolj pogosto uporabljali Instagram, v večini primerov uporabljati HTTPS kanal ali pa nikoli ne uporabljati nobene odprte dostopne točke WiFi.

To vprašanje se lahko nanaša samo na Instagram, vendar bolj pogosto, napadalci točno vedo, kaj najdejo, da bi lahko dostopali do drugih računov, vključno s Facebookom, Twitterjem in celo e-poštnimi sporočili. Previdnostne ukrepe je treba sprejeti zlasti za ljudi, ki morda shranjujejo nekatere občutljive podatke na svojih napravah.

[vir: Reventlov]