Instagram kwetsbaar voor WiFi-hackers
Gebruikers van Instagram zijn gewaarschuwd voor een kwetsbaarheid waardoor aanvaller het account tijdelijk kunnen overnemen. Het probleem wordt veroorzaakt doordat Instagram app voor de iPhone met de Instagram API via HTTPS en HTTPs verbindingen communiceert. Het inloggen is versleuteld, maar de overige requests gaan over HTTP. Een aanvaller die deze requests kan onderscheppen, kan zich als het slachtoffer voordoen.
Een aanvaller op hetzelfde netwerk als het slachtoffer, bijvoorbeeld een openbaar WiFi-netwerk, kan een eenvoudige arpspoofing-aanval de iPhone misleiden om het verkeer van poort 80 via de machine van de aanvaller te laten lopen. "Als het slachtoffers de Instagram-app start wordt een cookie in platte tekst naar de Instagram-server gestuurd", zegt beveiligingsonderzoeker Carlos Reventlov.
Cookie
Een aanvaller die dit cookie in handen krijgt, kan vervolgens foto's opvragen en verwijderen. Reventlov ontdekte het probleem op 10 november. Een dag later informeerde hij Instagram, maar kreeg een geautomatiseerd bericht. Vervolgens ging hij op 20 november over tot full-disclosure. Als bewijs publiceerde hij een proof-of-concept exploit. Het Deense Secunia heeft het probleem bevestigd.
De kwetsbaarheid is nog altijd niet opgelost, maar Reventlov adviseert Instagram om HTTPs te gebruiken voor alle API requests die gevoelige data kunnen bevatten.
http://reventlov.com/advisories/instagram-plaintext-media-disclosure-issue
Nog iets ouder nieuws:
Op 16 november ook een full-disclosure over Twitter met vrijwel dezelfde kwetsbaarheid (gebruik van HTTP voor persoons-afhankelijke data, in dit geval plaatjes) maar dan via LAN;
http://reventlov.com/advisories/twitter-app-vulnerable-to-partial-mitm
Deze bug is inmiddels verholpen.
In beide gevallen moet de aanvaller dus wel eerst toegang tot het netwerk hebben, en moet de applicatie door het slachtoffer gestart worden, dus niet al gestart zijn. Vandaar misschien ook dat je nooit ergens moet inloggen via een hot-spot?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.