Instagram drošības nepilnības ļauj uzbrucējiem izdzēst fotoattēlus un pārņemt kontus

Instagram var būt kļuvis par populārāko un visbiežāk lietoto fotoattēlu koplietošanas lietotni gan iOS, gan Android platformām, bet tāpat kā jebkura cita lietotne, tā nav perfekta. Faktiski nesen tika atklāta jauna nepilnība. Pēc ekspertu domām, jaunais Instagram drošības trūkums var ļaut uzbrucējiem izdzēst fotoattēlus vai pat pārņemt kontus. Trūkums tika atklāts Instagram versijā 3.1.2, kas darbojas iOS ierīcē.

Instagram API izmanto gan HTTP, gan HTTPS savienojumus, lai nosūtītu pieprasījumus un datus. Jutīga informācija, piemēram, profila rediģēšanas dati un pieteikšanās akreditācijas dati, bieži tiek nosūtīti caur HTTPS, jo tas ir drošs kanāls. Taču nesen reventlov.com ir atklājuši, ka daži dati patiešām tiek nosūtīti, izmantojot otru kanālu, padarot neaizsargātus pret dažiem uzbrucējiem, kuri, iespējams, ir zinājuši nepilnības.

Ja dati tiek nosūtīti, izmantojot HTTP kanālu, vienīgais autentifikācijas veids ir standarta sīkfails, kas bieži tiek nosūtīts bez šifrēšanas ikreiz, kad lietotājs sāk lietotni Instagram. Uzbrucēji, kas varētu atrasties tajā pašā tīklā kā iPhone vai iPad, var būt spējīgi pārtvert datus, izmantojot vienkāršu arpspoofing uzbrukumu, un var izmantot šo informāciju pēc saviem ieskatiem. Ja tas notiek, un uzbrucēji var autentificēt, izmantojot aizturētu informāciju, viņiem jau ir gala piekļuve kontam, un viņi jebkurā laikā var mainīt pieteikšanās akreditācijas datus vai dzēst fotoattēlus.

Cilvēki, kuri ir atklājuši trūkumu, to publiskoja 10. novembrī, un viņi vēlāk sazinājās ar Instagram par to dienu vēlāk, bet visi viņi saņēma automātisku atbildi. Līdz šim šī problēma joprojām var turpināties, tāpēc iOS ierīču īpašnieki, kuri biežāk izmanto Instagram, visbiežāk izmanto HTTPS kanālu vai nekad neizmanto tikai jebkuru atvērtu WiFi piekļuves punktu.

Šis jautājums var attiekties tikai uz Instagram, bet biežāk uzbrucēji precīzi zina, ko atrast, lai varētu piekļūt citiem kontiem, tostarp Facebook, Twitter un pat e-pastiem. Piesardzības pasākumi jo īpaši jāveic cilvēkiem, kuri savās ierīcēs varētu glabāt dažus sensitīvus datus.

[Avots: Reventlov]