Instagram-kwetsbaarheid op iPhone zorgt voor accountovername

De aanval werd ontwikkeld door Carlos Reventlov rond een kwetsbaarheid die hij halverwege november op Instagram vond. Hij meldde Instagram op 11 november bij het probleem, maar sinds afgelopen dinsdag was het probleem nog niet verholpen.

Het beveiligingslek komt voor in de 3.1.2-versie van Instagram's applicatie, die op 23 oktober is uitgegeven voor de iPhone. Reventlov ontdekte dat terwijl sommige gevoelige activiteiten, zoals het inloggen en bewerken van profielgegevens, versleuteld waren wanneer ze naar Instagram werden verzonden, andere gegevens in platte tekst werden verzonden. Hij testte de twee aanvallen op een iPhone 4 met iOS 6, waar hij voor het eerst het probleem ontdekte.

[Lees meer: ​​Hoe malware van je Windows-pc te verwijderen]

"Wanneer het slachtoffer de Instagram-app start, een gewone er wordt een tekstcookie naar de Instagram-server gestuurd, 'schreef Reventlov. "Zodra de aanvaller de cookie heeft gekregen, kan hij speciale HTTP-aanvragen maken voor het verkrijgen van gegevens en het verwijderen van foto's."

De gewone-tekstcookie kan worden onderschept met een man-in-the-middle-aanval zolang de hacker op hetzelfde LAN (Local Area Network) als het slachtoffer. Zodra de cookie is verkregen, kan de hacker foto's verwijderen of downloaden of toegang krijgen tot de foto's van een andere persoon die bevriend is met het slachtoffer. Het Deense beveiligingsbedrijf Secunia heeft de aanval geverifieerd en een advies gegeven.

Reventlov is doorgegaan met studeren het potentieel van het lek en de ontdekking dat het cookie-probleem de hacker ook in staat zou kunnen stellen het account van het slachtoffer over te nemen. Nogmaals, de aanvaller moet zich op hetzelfde LAN bevinden als het slachtoffer.

Het compromis maakt gebruik van een methode met de naam ARP-spoofing (Address Resolution Protocol), waarbij het webverkeer van het mobiele apparaat van het slachtoffer wordt gekanaliseerd via de computer van de aanvaller. Reventlov schreef dat het vervolgens mogelijk is om de platte-tekstcookie te onderscheppen.

Door een ander hulpmiddel te gebruiken om de koppen van een webbrowser tijdens verzending naar de servers van Instagram aan te passen, is het mogelijk om vervolgens in te loggen als slachtoffer en de slachtoffer te veranderen e-mailadres, wat resulteert in een gecompromitteerd account. De oplossing voor Instagram is eenvoudig: de site moet altijd HTTPS gebruiken voor API-verzoeken met gevoelige gegevens, schreef Reventlov.

"Ik heb gemerkt dat veel iPhone-apps kwetsbaar zijn voor dergelijke dingen, maar niet te veel zijn spraakmakend apps zoals Instagram, "schreef Reventlov in een e-mail aan IDG News Service.

Geen enkele Instagram- of Facebook-functionaris kon maandag meteen worden bereikt. Reventlov schreef in zijn adviezen dat hij een automatisch antwoord ontving toen hij Instagram over het probleem vertelde.

Stuur nieuwsfeiten en opmerkingen naar [email protected]. Volg mij op Twitter: @jeremy_kirk