Спецы по информационной безопасности дают предупреждение об обнаружении новейшей уязвимости в фото-обменном сервисе Instagram. Эта уязвимость разрешает злодеям захватить контроль над учетной записью пользователя-жертвы. В начальный раз вариант атаки был создан Карлосом Ревентлоу, что выстроил атаку на базе уязвимости, о которой было ясно с середины ноября.
Сам Ревентлоу гласит, что уведомил Instagram об уязвимости еще одиннадцать ноября, но с того времени неувязка не была ликвидирована.Уязвимость найдена в клиентской версии приложения Instagram 3.1.2, выпущенном 20 три октября для iPhone. Исследователь нашёл, что некие скрытые деяния юзера, такие как авторизация, редактирование данных в профиле либо передача данных отправляются на серверы Instagram в виде обыденного текста без шифрования.
Неувязка была доказана при с iPhone четыре и iOS 6.0."Тогда как жертва запускает приложение Instagram, cookie в виде обыденного текста передаются в виде обыденного текста. После получения мотивированного cookie, атакующий может сгенерировать особый HTTP-запрос на редактирование либо удаление данных с серверов Instagram", – гласит Ревентлоу.Он утвержает, что текстовые cookie могут быть перехвачены в итоге атаки типа man-in-the-middle, когда взломщик трудится в той же сети, что и пользователь-жертва. Если хакеру из той же LAN-сети удается перехватить cookie, то на базе этого файла он может делать фактически каждые деяния от имени юзера.Спецы молвят, что для устранения задачи Instagram нужно организовать передачу cookie через защищенный протокол HTTPS.
Ревентлоу гласит, что сейчас он изучит многие другие пользующиеся популярностью iPhone-приложения, которые также отправляют эти по открытому каналу HTTP.
Более подробные эти ИТ-спеиалист обещает опубликовать позднее.