Instagram-tietoturva-aukko sallii hyökkääjien poistaa kuvia ja ottaa tilit

Instagram on ehkä tullut suosituin ja eniten käytetty valokuvien jakamisohjelma sekä iOS- että Android-alustoille, mutta aivan kuten mikä tahansa muu sovellus, se ei ole täydellinen. Viime aikoina on havaittu uusi porsaanreikä. Asiantuntijoiden mukaan uusi Instagram-suojausvirhe voi antaa hyökkääjille mahdollisuuden poistaa valokuvia tai jopa ottaa tilit. Häiriö löydettiin Instagram-versiossa 3.1.2 iOS-laitteessa.

Instagram API käyttää sekä HTTP- että HTTPS-yhteyksiä pyyntöjen ja tietojen lähettämiseen. Herkät tiedot, kuten profiilin muokkaustiedot ja kirjautumistiedot, lähetetään usein HTTPS: n kautta, koska se on suojattu kanava. Mutta reventlov.comin ihmiset ovat äskettäin huomanneet, että jotkut tiedot lähetetään tosiasiallisesti toisella kanavalla, jolloin jotkut hyökkääjät, jotka saattavat tuntea porsaanreiän, ovat alttiita hyväksikäytölle.

Jos tiedot lähetetään HTTP-kanavan kautta, ainoa vaadittu todentamismuoto on tavallinen eväste, joka lähetetään usein ilman salausta aina, kun käyttäjä käynnistää Instagram-sovelluksen. Hyökkääjät, jotka saattavat olla samassa verkossa kuin iPhonen tai iPadin kanssa, voivat ehkä siepata tiedot yksinkertaisen arpspoofing-hyökkäyksen kautta, ja ne voivat hyödyntää tietoja mielellään. Jos näin tapahtuu, ja hyökkääjät saattavat todentaa tunnistetiedot käyttämällä kaapattuja tietoja, niillä on jo lopullinen pääsy tiliin ja he voivat muuttaa kirjautumistietoja milloin tahansa tai poistaa valokuvia.

Ihmiset, jotka ovat havainneet virheen, ovat julkistaneet 10. marraskuuta, ja he ottivat yhteyttä siihen Instagramiin päivässä myöhemmin, mutta kaikki he saivat automaattisen vastauksen. Tähän asti tämä ongelma saattaa silti olla käynnissä, joten iOS-laitteen omistajat, jotka saattavat käyttää Instagramia useammin, käyttävät HTTPS-kanavaa useimmiten tai eivät koskaan käytä vain avointa WiFi-yhteysosoitetta.

Tämä ongelma saattaa koskea vain Instagramia, mutta useammin hyökkääjät tietävät tarkalleen, mistä löytää, jotta he voivat päästä käsiksi muihin tileihin, kuten Facebookiin, Twitteriin ja jopa sähköposteihin. Varotoimenpiteitä on toteutettava erityisesti henkilöillä, jotka saattavat tallentaa joitakin arkaluonteisia tietoja laitteistaan.

[Lähde: Reventlov]