פגיעות ב- Instagram ב- iPhone מאפשרת השתלטות על החשבון

חוקר אבטחה פרסם ביום שישי התקפה נוספת על שירות הצילום של Instagram בפייסבוק, שעלול לאפשר להאקר להשתלט על חשבון הקורבן.

ההתקפה פותחה על ידי קרלוס רוונטלוב סביב פגיעות שהוא מצא בתוך Instagram באמצע נובמבר. הוא הודיע ​​לאינסטגרם על הבעיה ב -11 בנובמבר, אך נכון ליום שלישי שעבר זה לא תוקן.

הפגיעות נמצאת בגרסת 3.1.2 של היישום של Instagram, שפורסמה ב -23 באוקטובר, עבור ה- iPhone. Reventlov מצא כי בעוד כמה פעילויות רגישות, כגון כניסה ועריכה של נתוני פרופיל, מוצפנים כאשר נשלחו לאיסטנאם, נתונים אחרים נשלחו בטקסט רגיל. הוא בחן את שתי ההתקפות על iPhone 4 עם מערכת ההפעלה iOS 6, שם מצא את הבעיה הראשונה. [

[קריאה נוספת: כיצד להסיר תוכנות זדוניות ממחשב Windows שלך]

"כאשר הקורבן מתחיל ביישום Instagram, "-קובץ cookie שנשלח לשרת Instagram," כתב Reventlov. "לאחר שהתוקף מקבל את העוגיה הוא מסוגל לעצב בקשות HTTP מיוחדות לקבלת נתונים ומחיקת תמונות."

ניתן להעתיק את קובץ ה- Cookie של טקסט רגיל באמצעות התקפת אדם באמצע, כל עוד האקר על LAN זהה (רשת תקשורת מקומית) כמו הקורבן. לאחר קבלת קובץ ה- cookie, האקר יכול למחוק או להוריד תמונות או לגשת לתמונות של אדם אחר שהוא ידיד עם הקורבן.

חברת האבטחה הדנית סקוניה אימתה את ההתקפה והוציאה המלצה.

Reventlov המשיך ללמוד את הפוטנציאל של הפגיעות ומצא את הבעיה עוגיות עלולה גם לאפשר את האקר להשתלט על החשבון של הקורבן. שוב, התוקף צריך להיות על אותו LAN כמו הקורבן.

הפשרה משתמשת בשיטה שנקראת ARP (פרוטוקול כתובת פרוטוקול), שבה תעבורת האינטרנט של המכשיר הנייד של הקורבן מנותבת דרך המחשב של התוקף. Reventlov כתב כי אז ניתן ליירט את עוגיות טקסט רגיל.

באמצעות כלי אחר כדי לשנות את הכותרות של דפדפן האינטרנט במהלך שידור לשרתים של Instagram, אפשר מכן להיכנס בתור הקורבן ולשנות את הקורבן של כתובת דוא"ל, וכתוצאה מכך חשבון שנפרץ. התיקון עבור Instagram הוא קל: האתר צריך להשתמש תמיד להשתמש HTTPS עבור בקשות ה- API שיש להם נתונים רגישים, כתב Reventlov.

"מצאתי כי יישומים iPhone רבים פגיעים לדברים כאלה אבל לא יותר מדי הם פרופיל גבוה אפליקציות כמו Instagram ", כתב Reventlov בדוא"ל לשירות חדשות IDG.

איסטמסטר ולא פקידים רשמיים בפייסבוק היו יכולים להגיע מיד ביום שני. Reventlov כתב ביועצים שלו כי הוא קיבל תשובה אוטומטית כאשר הוא אמר לאינסטגרם של הבעיה.

שלח טיפים חדשות והערות ל [email protected]. עקוב אחרי לצפצף על: @ jeremy_kirk