Instagram sigurnosna rupa omogućuje napadačima brisanje fotografija i preuzimanje računa

Instagram je možda postao najpopularnija i najčešće korištena aplikacija za dijeljenje fotografija za iOS i Android platforme, ali kao i svaka druga aplikacija, nije savršena. Zapravo, nedavno je otkrivena nova rupa u zakonu. Prema mišljenju stručnjaka, novi Instagram sigurnosni propust može omogućiti napadačima da izbrišu fotografije ili čak preuzmu račune. Rupa je otkrivena u inačici 3.1.2 koja se izvodi na iOS uređaju.

Instagram API koristi i HTTP i HTTPS veze za slanje zahtjeva i podataka. Osjetljive informacije kao što su podaci za uređivanje profila i vjerodajnice za prijavu često se šalju putem HTTPS-a jer je to zaštićeni kanal. No, nedavno su otkrili ljudi na reventlov.com da su neki podaci zapravo poslani drugim kanalom, što je čini ranjivom na iskorištavanje od strane nekih napadača koji su možda poznavali rupu.

Ako se podaci šalju putem HTTP kanala, jedini potreban oblik provjere autentičnosti je standardni kolačić koji se često šalje bez šifriranja svaki put kada korisnik pokrene Instagram aplikaciju. Napadači koji bi mogli biti na istoj mreži kao s iPhoneom ili iPadom mogli bi presresti podatke putem jednostavnog arpspoofing napada i mogu iskoristiti informacije po vlastitom ukusu. Ako se to dogodi i napadači mogu provjeriti autentičnost pomoću presretnutih informacija, oni već imaju konačan pristup računu i mogu promijeniti vjerodajnice za prijavu bilo kada ili izbrisati fotografije.

Ljudi koji su otkrili manu objavili su je 10. studenog i kontaktirali su Instagram o tome dan kasnije, ali sve što su dobili bio je automatski odgovor. Do sada je ovaj problem još uvijek u tijeku pa bi vlasnici iOS uređaja koji bi mogli koristiti Instagram češće trebali koristiti HTTPS kanal ili nikada ne koristiti bilo koju otvorenu WiFi pristupnu točku.

Ovaj problem može se odnositi samo na Instagram, ali češće, napadači točno znaju što mogu pronaći kako bi mogli pristupiti drugim računima, uključujući Facebook, Twitter, pa čak i e-poštu. Mjere predostrožnosti trebaju poduzeti osobito osobe koje možda spremaju neke osjetljive podatke na svoje uređaje.

[Izvor: Reventlov]