Ένας προγραμματιστής στο Λονδίνο ανακάλυψε ότι ένας λογαριασμός Instagram θα μπορούσε εύκολα να παραβιαστεί και κυκλοφόρησε στο κοινό μια απόδειξη της μεθόδου, αφότου το Facebook αρνήθηκε να του παρέχει ανταμοιβή για την εύρεση του bug, λέγοντας ότι γνώριζαν το πρόβλημα που περιγράφεται.

Λόγω των ανασφαλών επικοινωνιών του Instagram, ο StevieGraham ήταν σε θέση να παρακολουθήσει την κυκλοφορία από το app του Instagram για το iOS και να ανακτήσει τα cookiesτων συνεδριών, ​​τα οποία του επέτρεψαν να παραβιάσει το λογαριασμό.

Η ευπάθεια δεν είναι νέα και συνίσταται στο γεγονός ότι το Instagram δεν έχει κρυπτογραφημένη επικοινωνία που να εφαρμόζεται σε όλα τα μέρη του και οι κλήσεις APIπραγματοποιούνται προς τα τελικά σημεία μέσω απλού HTTP. Αυτές περιέχουν τα cookies.

Η συλλογή και παρακολούθηση των cookies μπορεί να γίνει εύκολα, με δωρεάν εργαλεία καταγραφής της κυκλοφορίας του δικτύου και την τοποθέτησή τους σε ένα πρόγραμμα περιήγησης στο web, παρέχοντας πρόσβαση στον εισβολέα στον λογαριασμό Instagram, χωρίς να χρειάζεται αυθεντικοποίηση.

Η συνήθης σύνδεση στην υπηρεσία γίνεται μέσω κρυπτογράφησης, αλλά στη συνέχεια η επικοινωνία με τα cookies πραγματοποιείται χωρίς κρυπτογράφηση.

Με την πρόσβαση στο λογαριασμό, ένας πιθανός εισβολέας θα μπορούσε να ξεκινήσει τις ίδιες ενέργειες, σαν να ήταν ο κάτοχος του λογαριασμού, κάνοντας τροποποιήσεις, προσθέτοντας νέο περιεχόμενο ή να επεξεργαστεί σχόλια. Επίσης θα μπορούσε να αποστείλει spamμηνύματα ή να κατευθύνει τους άλλους χρήστες σε σελίδες που φιλοξενούν κακόβουλα αρχεία και πολλά ακόμη.

Source: secnews.gr