A Plague Tale Innocence: storia, ambientazione e personaggi
Un ricercatore di sicurezza ha pubblicato venerdì un altro attacco al servizio di condivisione di foto su Instagram di Facebook che potrebbe consentire a un hacker di prendere il controllo del conto di una vittima.
L'attacco è stato sviluppato da Carlos Reventlov attorno a un vulnerabilità che ha trovato su Instagram a metà novembre. Ha informato Instagram del problema l'11 novembre, ma a partire da martedì scorso non è stato corretto.
La vulnerabilità è nella versione 3.1.2 dell'applicazione Instagram, rilasciata il 23 ottobre, per l'iPhone. Reventlov ha rilevato che mentre alcune attività sensibili, come l'accesso e la modifica dei dati del profilo, vengono crittografate quando vengono inviate a Instagram, altri dati sono stati inviati in testo normale. Ha testato i due attacchi su un iPhone 4 con iOS 6, dove ha trovato il problema.
[Ulteriori letture: Come rimuovere il malware dal PC Windows]"Quando la vittima inizia l'app di Instagram, una semplice -Testo cookie viene inviato al server di Instagram ", ha scritto Reventlov. "Una volta che l'attaccante ottiene il cookie, è in grado di creare richieste HTTP speciali per ottenere dati ed eliminare foto."
Il cookie di testo normale può essere intercettato usando un attacco man-in-the-middle a condizione che l'hacker sia sulla stessa LAN (rete locale) come vittima. Una volta ottenuto il cookie, l'hacker può eliminare o scaricare foto o accedere alle foto di un'altra persona che è amica della vittima.
La società di sicurezza danese Secunia ha verificato l'attacco e ha emesso un avviso.
Reventlov ha continuato a studiare il potenziale della vulnerabilità e ha scoperto che il problema dei cookie potrebbe anche consentire all'hacker di rilevare l'account della vittima. Ancora una volta, l'attaccante deve trovarsi sulla stessa LAN della vittima.
Il compromesso utilizza un metodo chiamato spoofing ARP (Address Resolution Protocol), in cui il traffico web del dispositivo mobile della vittima viene incanalato attraverso il computer dell'aggressore. Reventlov ha scritto che è quindi possibile intercettare il cookie di testo normale.
Usando un altro strumento per modificare le intestazioni di un browser Web durante la trasmissione ai server di Instagram, è possibile quindi accedere come vittima e modificare la vittima indirizzo email, risultante in un account compromesso. La soluzione per Instagram è semplice: il sito dovrebbe usare sempre HTTPS per le richieste API che hanno dati sensibili, ha scritto Reventlov.
"Ho scoperto che molte app di iPhone sono vulnerabili a tali cose ma non troppe sono di alto profilo app come Instagram ", ha scritto Reventlov in una e-mail a IDG News Service.
Lunedì non è stato possibile raggiungere immediatamente né Instagram né i funzionari di Facebook. Reventlov ha scritto nei suoi consigli che ha ricevuto una risposta automatica quando ha comunicato a Instagram il problema.
Invia suggerimenti e commenti a [email protected]. Seguimi su Twitter: @jeremy_kirk
Microsoft nega la vulnerabilità del controllo dell'account utente Windows 7
Microsoft nega l'esistenza di un buco nella funzionalità Controllo dell'account utente di Windows 7, nonostante il rapporto di un blogger.
Matematica dell'acquisizione: il CTO di Belkin prevede che l'esito dell'affare di Linksys sarà '1 + 1 = 3'
In un'intervista con Brian Van Harlingen, il CTO di Belkin prevede che l'acquisizione di Linksys si tradurrà in una società più grande della somma delle sue parti.
E-mail vulnerabilità degli exploit degli attacchi nel sito di Yahoo per dirottare gli account
Gli hacker dietro una campagna di attacco e-mail rilevata di recente stanno sfruttando una vulnerabilità in un sito Web di Yahoo per dirottare gli account e-mail degli utenti di Yahoo e utilizzarli per lo spam, secondo i ricercatori di sicurezza del fornitore di antivirus Bitdefender.