Instagram turvaväli võimaldab ründajatel fotosid kustutada ja kontosid üle võtta

Instagram võib olla muutunud kõige populaarsemaks ja enimkasutatavaks fotode jagamise rakenduseks nii iOS- kui ka Android-platvormidele, kuid nagu iga teine ​​rakendus, ei ole see täiuslik. Tegelikult on hiljuti avastatud uus lünk. Ekspertide sõnul võib uus Instagrami turvalisuse viga lubada ründajatel fotosid kustutada või isegi kontosid üle võtta. Lünka avastati Instagrami versioonis 3.1.2, mis töötab iOS-seadmes.

Instagram API kasutab taotluste ja andmete saatmiseks nii HTTP- kui HTTPS-ühendusi. Tundlikku teavet, näiteks profiili redigeerimise andmeid ja sisselogimisandmeid saadetakse sageli HTTPSi kaudu, sest see on turvaline kanal. Kuid hiljuti on reventlov.com'i inimesed avastanud, et mõned andmed on tegelikult saadetud teise kanali abil, mistõttu mõned ründajad, kes võisid teada lünki, on ärakasutatavad.

Kui andmed saadetakse HTTP-kanali kaudu, on ainus nõutav autentimisvorm tavaline küpsis, mis saadetakse sageli ilma krüpteerimiseta iga kord, kui kasutaja käivitab Instagram-rakenduse. Ründajad, kes võivad olla samas võrgus nagu iPhone'i või iPadiga, võivad olla võimelised andmeid lihtsalt arpspoofing-rünnaku kaudu kinni haarama ja saama seda teavet kasutada. Kui see juhtub ja ründajad võivad autentida kinnitatud teavet, on neil juba juurdepääs kontole ja nad saavad igal ajal sisselogimisandmeid muuta või fotosid kustutada.

Inimesed, kes on avastanud vea, avalikustasid selle 10. novembril ja nad võtsid selle päevaga ühendust Instagramiga, kuid kõik nad said automaatse vastuse. Seni on see probleem ikka veel käimas, nii et iOS-i seadme omanikud, kes kasutavad Instagrami sagedamini, peaksid enamasti kasutama HTTPS-kanalit või mitte kunagi kasutama ühtegi avatud WiFi-pöörduspunkti.

See probleem puudutab ainult Instagramit, kuid sagedamini teavad ründajad täpselt, mida leida, et pääseda juurde muudele kontodele, sealhulgas Facebookile, Twitterile ja isegi e-kirjadele. Ettevaatusabinõusid peaksid võtma eelkõige inimesed, kes võivad oma seadmetesse salvestada mõningaid tundlikke andmeid.

[allikas: Reventlov]