Instagram-sikkerhetsbrønn lar angriperne slette bilder og overta kontoer

Instagram kan ha blitt den mest populære og mest brukte bildeutvekslingsprogrammet for både iOS og Android-plattformer, men akkurat som alle andre apper, er det ikke perfekt. Faktisk er det nylig oppdaget et nytt smutthull. Ifølge eksperter kan den nye Instagram-sikkerhetsfeilen tillate angripere å slette bilder eller til og med ta over kontoer. Smutthullet ble oppdaget i Instagram versjon 3.1.2 kjører på en iOS-enhet.

Instagram API bruker både HTTP og HTTPS tilkoblinger for å sende forespørsler og data. Følsom informasjon som profilredigering og innloggingsinformasjon sendes ofte via HTTPS fordi det er en sikret kanal. Men det har nylig blitt oppdaget av folk på reventlov.com at noen data faktisk sendes ved hjelp av den andre kanalen som gjør de utsatte for utnyttelse av noen angripere som kanskje har kjent smutthullet.

Hvis data sendes via HTTP-kanal, er den eneste form for godkjenning som kreves, en standardkake som ofte sendes uten kryptering hver gang en bruker starter Instagram-appen. Attackere som kan være på samme nettverk som med iPhone eller iPad, kan være i stand til å fange opp dataene gjennom et enkelt arpspoofing-angrep og kan utnytte informasjonen til deres smak. Hvis det skjer, og angripere kan være i stand til å autentisere ved hjelp av oppfanget informasjon, har de allerede en ultimate tilgang til kontoen, og de kan endre påloggingsinformasjon når som helst eller slette bilder.

De som har oppdaget feilen, ble offentliggjort den 10. november, og de kontaktet Instagram om det en dag senere, men alt de fikk var et automatisert svar. Frem til nå kan dette problemet fortsatt være i gang, så iOS-enhetseiere som kanskje bruker Instagram oftere, bør bruke HTTPS-kanal de fleste ganger, eller aldri bruke bare et hvilket som helst åpent WiFi-tilgangspunkt.

Dette problemet kan bare vedrøre Instagram, men oftere vet angripere nøyaktig hva de skal finne for å kunne få tilgang til andre kontoer, inkludert Facebook, Twitter og til og med e-post. Sikkerhetsforanstaltninger bør tas spesielt av personer som kan lagre noen sensitive data på sine enheter.

[kilde: Reventlov]