Car-tech

Instagram güvenlik açığı iPhone'da hesapların ele geçirilmesine izin veriyor

Başkasının WhatsApp mesajlarını okuyabileceğiniz casus uygulamalar!

Başkasının WhatsApp mesajlarını okuyabileceğiniz casus uygulamalar!
Anonim

Bir güvenlik araştırmacısı, bir hacker'ın bir kurbanın hesabının kontrolünü ele geçirmesine olanak tanıyan Facebook'un fotoğraf paylaşma hizmetine Cuma günü bir saldırı yayınladı.

Saldırı, Carlos Reventlov tarafından Güvenlik açığı, Kasım ayı ortasında Instagram'da bulundu. Sorunun sonuçlarını 11 Kasım'da açıkladı, ancak geçen Salı günü itibariyle, bu durum düzeltilemedi.

Güvenlik açığı, iPhone için 23 Ekim'de yayınlanan Instagram uygulamasının 3.1.2 sürümünde bulunuyor. Reventlov, insana gönderilirken, profil verilerinin kaydedilmesi ve düzenlenmesi gibi bazı hassas etkinliklerin şifrelenirken, diğer verilerin de düz metin olarak gönderildiğini tespit etti. İlk kez sorunu bulduğu iOS 4'ü çalıştıran bir iPhone 4'teki iki saldırıyı test etti.

[Daha fazla okuma: Windows PC'nizden kötü amaçlı yazılım nasıl kaldırılır]

"Kurban Instagram uygulamasını başlattığında Reventlov yazısında, -text çerezi Instagram sunucusuna gönderildi. "Saldırgan çerez aldığında, veri almak ve fotoğrafları silmek için özel HTTP istekleri üretebilir."

Düz metinli bir çerez, bilgisayar korsanı olduğu sürece ortadaki adam saldırısı ile yakalanabilir Aynı LAN (yerel alan ağı) üzerinde kurban olarak. Çerez alındıktan sonra bilgisayar korsanı fotoğrafları silebilir veya indirebilir veya mağdurla arkadaş olan başka bir kişinin fotoğraflarına erişebilir.

Danimarkalı güvenlik şirketi Secunia saldırıyı doğruladı ve bir danışmanlık verdi.

Reventlov çalışmaya devam etti Bu güvenlik açığının potansiyeli ve çerez sorununun bulunması, hacker'ın kurbanın hesabını ele geçirmesine de olanak verebilir. Yine, saldırganın kurbanla aynı LAN'da olması gerekiyor.

Uzlaşma, kurbanın mobil cihazının web trafiğinin saldırganın bilgisayarından geçtiği ARP (Adres Çözümleme Protokolü) sahteciliği yöntemini kullanıyor. Reventlov daha sonra düz metin çerezini engellemek mümkün olduğunu yazdı.

Instagram sunucularına aktarım sırasında bir web tarayıcısının başlıklarını değiştirmek için başka bir araç kullanarak, daha sonra kurban olarak oturum açmak ve kurbanın değiştirmek mümkündür e-posta adresi, güvenliği ihlal edilmiş bir hesapla sonuçlanır. Instagram için düzeltme kolaydır: Site her zaman hassas verilere sahip API istekleri için HTTPS kullanmalıdır, Reventlov yazdı.

"Birçok iPhone uygulamasının bu tür şeylere karşı savunmasız olduklarını ancak çok fazla sayıda yüksek profilli olduğunu anladım Instagram gibi uygulamalar, "Reventlov, IDG Haber Servisi'ne bir e-posta yazdı.

Ne Instagram ne de Facebook yetkilileri Pazartesi günü hemen ulaşamadı. Reventlov, tavsiyelerinde, meselenin Instagramını söylediğinde otomatik yanıt aldığını yazdı.

[email protected] adresine haber ve ipuçları yollayın. Twitter'da beni takip edin: @jeremy_kirk