Защитната вратичка на Instagram позволява на нападателите да изтриват снимки и да поемат сметки

Instagram може да се превърне в най-популярната и най-използваната аптека за споделяне на снимки както за IOS, така и за Android платформи, но точно като всяко друго приложение, то не е перфектно. Всъщност наскоро бе открита нова вратичка. Според експерти новата Instagram пропуск в сигурността може да позволи на нападателите да изтрият снимки или дори да поемат сметки. Вратата е открита в версия 3.1.2 на Instagram, която се изпълнява на iOS устройство.

APIът на Instagram използва HTTP и HTTPS връзки за изпращане на заявки и данни. Чувствителната информация, като например данните за редактиране на профили и идентификационните данни за вход, често се изпращат чрез HTTPS, защото това е защитен канал. Но наскоро бяха открити от хора в reventlov.com, че някои данни всъщност са изпратени чрез другия канал, което прави уязвимите за експлоатация от някои нападатели, които може би са знаели за вратичката.

Ако данните се изпращат чрез HTTP канал, единствената необходима форма на удостоверяване е стандартната бисквитка, която често се изпраща без криптиране всеки път, когато потребителят започне приложението Instagram. Нападателите, които може да са в една и съща мрежа с iPhone или iPad, могат да прихванат данните чрез проста атака с arpspoofing и могат да използват информацията по свое желание. Ако това се случи и нападателите могат да могат да удостоверят автентичността си с използване на заловена информация, те вече имат краен достъп до профила и могат да променят данните за вход по всяко време или да изтрият снимки.

Хората, които са открили недостатъка, го обявяват публично на 10 ноември и те се свързват с Instagram за него един ден по-късно, но всичко, което са получили, е автоматичен отговор. Досега този проблем може все още да е в ход, така че собствениците на iOS устройства, които може би използват Instagram, по-често трябва да използват HTTPS канала в повечето случаи или никога да не използват никаква отворена WiFi точка за достъп.

Този проблем може да засегне само Instagram, но по-често, нападателите знаят точно какво да намерят, за да получат достъп до други сметки, включително Facebook, Twitter и дори имейли. Предпазните мерки трябва да се предприемат особено от хора, които може да съхраняват някои чувствителни данни на своите устройства.

[източник: Reventlov]