Το κενό ασφαλείας Instagram επιτρέπει στους επιτιθέμενους να διαγράψουν φωτογραφίες και να αναλάβουν λογαριασμούς

Το Instagram μπορεί να έχει γίνει η πιο δημοφιλής και πιο χρησιμοποιημένη εφαρμογή κοινής χρήσης φωτογραφιών για τις πλατφόρμες iOS και Android, αλλά όπως και κάθε άλλη εφαρμογή, δεν είναι τέλεια. Στην πραγματικότητα, έχει ανακαλυφθεί πρόσφατα ένα νέο κενό. Σύμφωνα με τους ειδικούς, το νέο σφάλμα ασφαλείας του Instagram ενδέχεται να επιτρέψει στους επιτιθέμενους να διαγράψουν φωτογραφίες ή ακόμα να αναλάβουν λογαριασμούς. Το κενό εντοπίστηκε στην έκδοση 3.1.2 του Instagram που εκτελείται σε μια συσκευή iOS.

Το API Instagram χρησιμοποιεί συνδέσεις HTTP και HTTPS για την αποστολή αιτημάτων και δεδομένων. Οι ευαίσθητες πληροφορίες, όπως τα δεδομένα επεξεργασίας προφίλ και τα διαπιστευτήρια σύνδεσης, αποστέλλονται συχνά μέσω HTTPS, επειδή είναι ένα ασφαλές κανάλι. Αλλά έχει ανακαλυφθεί πρόσφατα από τους ανθρώπους στο reventlov.com ότι κάποια δεδομένα αποστέλλονται στην πραγματικότητα χρησιμοποιώντας το άλλο κανάλι που καθιστά τους ευάλωτους στην εκμετάλλευση από ορισμένους επιτιθέμενους που μπορεί να γνωρίζουν το κενό.

Εάν αποστέλλονται δεδομένα μέσω του καναλιού HTTP, η μόνη μορφή εξακρίβωσης ταυτότητας που απαιτείται είναι ένα τυπικό cookie που αποστέλλεται συχνά χωρίς κρυπτογράφηση κάθε φορά που ένας χρήστης εκκινεί την εφαρμογή Instagram. Οι επιτιθέμενοι που ενδέχεται να βρίσκονται στο ίδιο δίκτυο με το iPhone ή το iPad ενδέχεται να μπορούν να παρακολουθήσουν τα δεδομένα μέσω μιας απλής επίθεσης και να εκμεταλλευτούν τις πληροφορίες σύμφωνα με τις προτιμήσεις τους. Εάν συμβεί και οι επιτιθέμενοι ενδέχεται να είναι σε θέση να πιστοποιήσουν την ταυτότητά τους χρησιμοποιώντας πληροφορίες που έχουν υποκλαπούν, έχουν ήδη τελική πρόσβαση στο λογαριασμό και μπορούν να αλλάξουν διαπιστευτήρια σύνδεσης οποιαδήποτε στιγμή ή να διαγράψουν φωτογραφίες.

Οι άνθρωποι που ανακάλυψαν το ελάττωμα το κατέστησαν δημόσιο στις 10 Νοεμβρίου και έρχονται σε επαφή με το Instagram για μια μέρα αργότερα, αλλά το μόνο που πήραν ήταν μια αυτοματοποιημένη απάντηση. Μέχρι τώρα, αυτό το ζήτημα μπορεί να είναι ακόμα σε εξέλιξη, ώστε οι ιδιοκτήτες συσκευών iOS που χρησιμοποιούν το Instagram πιο συχνά θα πρέπει να χρησιμοποιούν το κανάλι HTTPS τις περισσότερες φορές ή ποτέ να μην χρησιμοποιούν οποιοδήποτε ανοικτό σημείο πρόσβασης WiFi.

Αυτό το ζήτημα μπορεί να αφορά μόνο το Instagram, αλλά πιο συχνά οι επιτιθέμενοι γνωρίζουν ακριβώς τι να βρουν για να έχουν πρόσβαση σε άλλους λογαριασμούς, όπως το Facebook, το Twitter και ακόμη και τα μηνύματα ηλεκτρονικού ταχυδρομείου. Τα προληπτικά μέτρα πρέπει να λαμβάνονται ιδιαίτερα από άτομα που ενδέχεται να αποθηκεύουν ορισμένα ευαίσθητα δεδομένα στις συσκευές τους.

[πηγή: Reventlov]