Een lek in de populaire fotodienst Instagram dat al anderhalf jaar bekend is, is nog steeds aanwezig, waardoor een aanvaller de accounts van gebruikers die de Instagram-app op hun iPhone of iPad hebben geïnstalleerd kan kapen. De Instagram app op iOS blijkt sessiecookies onversleuteld uit te wisselen.

Een aanvaller die zich op hetzelfde netwerk als een Instagram-gebruiker bevindt, bijvoorbeeld in het geval van een open wifi-netwerk, kan hierdoor de cookies kapen en zo het account overnemen. Het probleem werd in november 2012 al ontdekt en aan Instagram gemeld, maar niet verholpen. De kwetsbaarheid werd onlangs opnieuw door beveiligingsonderzoeker Steve Graham gevonden. Ook Graham rapporteerde het probleem, maar ontdekte dat Facebook, de eigenaar van Instagram, niet erg meewerkend was.

Daarop besloot Graham zijn bevindingen openbaar te maken en ontwikkelde zelfs een tool waarmee het mogelijk is om de aanval geautomatiseerd uit te voeren. Het programma heet Instasheep en is een verwijzing naar de Firesheep-tool die een aantal jaren geleden verscheen en waarmee het ook mogelijk was om social media-accounts via open wifi-netwerken te kapen.

Instagram stelt in een verklaring op Hacker News dat het al enige tijd bezig is met het uitrollen van HTTPS, dat tegen de aanval moet beschermen. Voor bepaalde delen van de app wordt vanwege prestaties, stabiliteit en gebruikerservaring nog geen HTTPS gebruikt. "Dit is een project dat we snel hopen af te ronden, en we zullen onze ervaringen in ons blog delen zodat ook andere bedrijven ervan kunnen leren", aldus Mike Krieger, medeoprichter van Instagram.