Лазівка ​​безпеки в Instagram дозволяє зловмисникам видаляти фотографії і брати на себе рахунки

Instagram, можливо, став найпопулярнішим і найпопулярнішим додатком для обміну фотографіями як для платформ iOS, так і для Android, але, як і для будь-якої іншої програми, він не ідеальний. Фактично, нещодавно з'явилася нова лазівка. На думку експертів, нова безпека Instagram може дозволити зловмисникам видалити фотографії або навіть взяти на себе рахунки. Лазівка ​​була виявлена ​​в Instagram версії 3.1.2, що працює на пристрої iOS.

API Instagram використовує з'єднання HTTP і HTTPS для надсилання запитів і даних. Чутлива інформація, наприклад, дані редагування профілю та облікові дані для входу, часто надсилаються через HTTPS, оскільки це захищений канал. Але нещодавно знайдені людьми на reventlov.com, що деякі дані фактично відправлені за допомогою іншого каналу, що робить вразливих для експлуатації деякими зловмисниками, які, можливо, знали лазівку.

Якщо дані надсилаються через HTTP-канал, єдиною формою аутентифікації є стандартний файл cookie, який часто надсилається без шифрування кожного разу, коли користувач запускає програму Instagram. Зловмисники, які можуть перебувати в тій самій мережі, що й з iPhone або iPad, можуть перехоплювати дані за допомогою простої атаки з арфінгами і можуть використовувати інформацію за своїм бажанням. Якщо це трапиться і зловмисники зможуть аутентифікувати за допомогою перехопленої інформації, вони вже мають кінцевий доступ до облікового запису, і вони можуть змінити облікові дані в будь-який час або видалити фотографії.

Люди, які виявили недолік, зробили його публічним 10 листопада, і вони зв'язалися з Instagram про нього через день, але все, що вони отримали, було автоматизованим відповіддю. До цих пір ця проблема все ще може продовжуватися, тому власники пристроїв iOS, які часто користуються Instagram, частіше повинні використовувати HTTPS канал або ніколи не використовувати будь-яку відкриту точку доступу WiFi.

Ця проблема може стосуватися лише Instagram, але найчастіше, зловмисники точно знають, що знайти, щоб отримати доступ до інших облікових записів, включаючи Facebook, Twitter і навіть електронні листи. Запобіжні заходи повинні вживатися особливо людьми, які можуть зберігати на своїх пристроях деякі конфіденційні дані.

[джерело: Reventlov]