Bezpečnostní mezera Instagram umožňuje útočníkům odstranit fotografie a převzít účty

Instagram se může stát nejoblíbenější a nejpoužívanější aplikací pro sdílení fotografií pro platformy iOS i Android, ale stejně jako každá jiná aplikace, není to dokonalé. Ve skutečnosti byla v poslední době objevena nová mezera. Podle odborníků může nová chyba zabezpečení služby Instagram dovolit útočníkům odstranit fotografie nebo dokonce převzít účty. Tato mezera byla objevena ve verzi 3.1.2 aplikace Instagram, která běží na zařízení se systémem iOS.

Aplikace Instagram API využívá připojení HTTP i HTTPS k odesílání požadavků a dat. Citlivé informace, jako jsou údaje upravující profil a přihlašovací údaje, se často odesílají prostřednictvím služby HTTPS, protože jsou zabezpečeným kanálem. Ale v poslední době objevili lidé na adrese reventlov.com, že některé údaje jsou skutečně odesílány pomocí druhého kanálu, který činí zranitelné vůči vykořisťování některými útočníky, kteří mohou znát mezeru.

Pokud jsou data odesílána prostřednictvím kanálu HTTP, je požadována pouze ověřovací forma standardního souboru cookie, který je často odesílán bez šifrování při každém spuštění aplikace Instagram uživatelem. Útočníci, kteří se mohou nacházet ve stejné síti jako v zařízeních iPhone nebo iPad, mohou být schopni zachytit data pomocí jednoduchého útoku na arpspoofing a mohou využívat informace podle svých představ. Pokud se to stane a útočníci mohou být schopni ověřit pomocí zachycených informací, mají již konečný přístup k účtu a mohou kdykoli změnit přihlašovací údaje nebo smazat fotografie.

Lidé, kteří tuto chybu objevili, ji zveřejnili 10. listopadu a o den později se s nimi obrátili na Instagram, ale vše, co dostali, byla automatická odpověď. Až dosud může být tento problém stále probíhat, takže majitelé zařízení iOS, kteří pravděpodobně používají Instagram, by měli častěji používat kanál HTTPS, nebo nikdy používat žádné otevřené přístupové body WiFi.

Tento problém se může týkat pouze společnosti Instagram, ale častěji útočníci vědí přesně, co zjistí, aby mohli získat přístup k jiným účtům, včetně Facebooku, Twitteru a dokonce i e-mailů. Předběžná opatření by měla být věnována zejména osobám, které by mohly uchovávat některé citlivé údaje o svých zařízeních.

[zdroj: Reventlov]