Beachbody Coaching
FacebookのInstagram写真共有サービスに対する別の攻撃で、ハッカーが被害者のアカウントを奪取する可能性のあるセキュリティ研究者。
この攻撃はCarlos Reventlovによって開発されたInstagram内で11月中旬に発見された脆弱性彼はInstagramに11月11日の問題を通知したが、最後の火曜日の時点で修正されていなかった。
iPhone用のInstagramのアプリケーションの3.1.2バージョンに10月23日にリリースされた。 Reventlovは、プロファイルデータのログインや編集などの機密性の高いアクティビティがInstagramに送信されると暗号化されるが、他のデータはプレーンテキストで送信されることが判明した。彼は、iOS 6を実行しているiPhone 4の2つの攻撃をテストしました。そこでは、最初に問題が見つかりました。
[詳しい読書:Windows PCからマルウェアを削除する方法]"被害者がInstagramアプリを起動すると、 -textクッキーがInstagramサーバーに送られます」と、Reventlovは書いています。 「攻撃者がクッキーを取得すると、データを取得して写真を削除するための特別なHTTPリクエストを作成することができます」。
プレーヤテキストのクッキーは、ハッカーが犠牲者と同じLAN(ローカル・エリア・ネットワーク)上にある。クッキーが入手されると、ハッカーは写真を削除したりダウンロードしたり、被害者の友人である他の人物の写真にアクセスしたりすることができます。
デンマークのセキュリティ会社Secuniaは攻撃を確認し、助言を出しました。この脆弱性の可能性とは、Cookieの問題により、ハッカーが被害者のアカウントを引き継ぐ可能性があることが判明しました。また、攻撃者は被害者と同じLANにいなければなりません。被害者のモバイルデバイスのWebトラフィックが攻撃者のコンピュータに送られるARP(Address Resolution Protocol)スプーフィングと呼ばれる方法を使用します。 Reventlovはプレーンテキストのクッキーを傍受することができると書いている。
Instagramのサーバーへの送信中に別のツールを使用してWebブラウザのヘッダーを変更すると、犠牲者としてサインインして被害者電子メールアドレスが入力され、アカウントが不正になる可能性があります。
「多くのiPhoneアプリがこのようなことに脆弱だが、それほど多くのiPhoneアプリは高プロファイルではないことがわかった。 ReventlovはIDG News Serviceに電子メールで書きました。
InstagramやFacebookの関係者は、月曜日にすぐに連絡が取れませんでした。 Reventlovは、彼がInstagramに問題を話したときに自動返信を受け取ったと彼の勧告で書きました。
ニュースのヒントとコメントを[email protected]に送ってください。 Twitterで私に従ってください:@jeremy_kirk