Luka w zabezpieczeniach na Instagramie umożliwia atakującym usuwanie zdjęć i przejęcie kont

Instagram może stać się najpopularniejszą i najczęściej używaną aplikacją do udostępniania zdjęć na platformach iOS i Android, ale tak jak każda inna aplikacja, nie jest idealna. W rzeczywistości niedawno odkryto nową lukę. Zdaniem ekspertów, nowa luka bezpieczeństwa Instagrama może pozwolić atakującym na usuwanie zdjęć, a nawet na przejęcie kont. Luka została odkryta na Instagramie w wersji 3.1.2 na urządzeniu z systemem iOS.

Interfejs API Instagram wykorzystuje połączenia HTTP i HTTPS do wysyłania żądań i danych. Wrażliwe informacje, takie jak dane edycji profilu i dane logowania, są często wysyłane za pośrednictwem protokołu HTTPS, ponieważ jest to kanał zabezpieczony. Ostatnio ludzie odkryli na reventlov.com, że niektóre dane są rzeczywiście przesyłane przy użyciu innego kanału, co naraża je na wykorzystanie przez niektórych napastników, którzy mogli znać tę lukę.

Jeśli dane są przesyłane za pośrednictwem kanału HTTP, jedyną wymaganą formą uwierzytelniania jest standardowy plik cookie, który często jest wysyłany bez szyfrowania za każdym razem, gdy użytkownik uruchamia aplikację Instagram. Atakujący, którzy mogą znajdować się w tej samej sieci co iPhone lub iPad, mogą przechwycić dane za pomocą prostego ataku arpspoofing i mogą wykorzystać te informacje do swoich potrzeb. Jeśli tak się stanie, a osoby atakujące mogą być uwierzytelniane za pomocą przechwyconych informacji, mają już ostateczny dostęp do konta i mogą zmienić dane logowania w dowolnym momencie lub usunąć zdjęcia.

Ludzie, którzy odkryli tę lukę, upublicznili ją 10 listopada i skontaktowali się z nią na Instagramie dzień później, ale dostali tylko automatyczną odpowiedź. Do tej pory problem ten może nadal trwać, więc właściciele urządzeń z systemem iOS, którzy mogą częściej używać Instagrama, powinni najczęściej używać kanału HTTPS lub nigdy nie używać żadnego otwartego punktu dostępu WiFi.

Ten problem dotyczy tylko Instagrama, ale częściej osoby atakujące wiedzą dokładnie, co znaleźć, aby uzyskać dostęp do innych kont, w tym Facebooka, Twittera, a nawet e-maili. Środki ostrożności powinny być podejmowane szczególnie przez osoby, które mogą przechowywać poufne dane na swoich urządzeniach.

[Źródło: Reventlov]

Zalecane

Problem z kamerą Samsung Galaxy Note 4 i innymi pokrewnymi problemami
2019
Jak skonfigurować VPN na Chromebooku
2019
Jak naprawić Galaxy J5, który losowo uruchamia się ponownie i blokuje na ekranie z logo Samsung
2019
Jak naprawić Samsung Galaxy S9 Plus z błędem "Niestety, Chrome się zatrzymał" (proste kroki)
2019
Samsung Galaxy S5 Nie można zaktualizować oprogramowania i innych pokrewnych problemów
2019
Co zrobić, jeśli Galaxy S8 nie ładuje się prawidłowo lub prędkość ładowania jest zbyt mała
2019