The Third Industrial Revolution: A Radical New Sharing Economy
Ένας ερευνητής ασφάλειας δημοσίευσε την Παρασκευή μια άλλη επίθεση κατά της υπηρεσίας κοινής χρήσης φωτογραφιών Instagram του Facebook που θα μπορούσε να επιτρέψει σε έναν χάκερ να πάρει τον έλεγχο του λογαριασμού του θύματος.
Η επίθεση αναπτύχθηκε από τον Carlos Reventlov ευπάθεια που βρήκε στο Instagram στα μέσα Νοεμβρίου. Είχε ειδοποιήσει το Instagram για το πρόβλημα στις 11 Νοεμβρίου, αλλά από την περασμένη Τρίτη, δεν είχε διορθωθεί.
Η ευπάθεια είναι στην έκδοση 3.1.2 της αίτησης του Instagram, που κυκλοφόρησε στις 23 Οκτωβρίου, για το iPhone. Ο Reventlov διαπίστωσε ότι, ενώ ορισμένες ευαίσθητες δραστηριότητες, όπως η σύνδεση και η επεξεργασία δεδομένων προφίλ, κρυπτογραφούνται όταν αποστέλλονται στο Instagram, άλλα δεδομένα αποστέλλονται σε απλό κείμενο. Δοκιμάζει τις δύο επιθέσεις σε ένα iPhone 4 που εκτελεί iOS 6, όπου βρήκε το πρόβλημα για πρώτη φορά.
"Όταν το θύμα ξεκινήσει την εφαρμογή Instagram, μια απλή -text cookie αποστέλλεται στο διακομιστή Instagram ", έγραψε ο Reventlov. "Μόλις ο εισβολέας πάρει το μπισκότο, είναι σε θέση να σχεδιάσει ειδικά αιτήματα HTTP για λήψη δεδομένων και διαγραφή φωτογραφιών."
Το cookie απλού κειμένου μπορεί να υποκλαπούν χρησιμοποιώντας μια επίθεση στον άνθρωπο-στο-μέσον, εφόσον ο χάκερ είναι στο ίδιο τοπικό δίκτυο (τοπικό δίκτυο) ως θύμα. Μόλις ληφθεί το cookie, ο χάκερ μπορεί να διαγράψει ή να κατεβάσει φωτογραφίες ή να αποκτήσει πρόσβαση σε φωτογραφίες άλλου προσώπου που είναι φίλος με το θύμα.
Η δανική εταιρεία ασφαλείας Secunia επαληθεύει την επίθεση και εκδίδει συμβουλευτική. το δυναμικό της ευπάθειας και βρήκε το θέμα του cookie θα μπορούσε επίσης να επιτρέψει στον χάκερ να αναλάβει το λογαριασμό του θύματος. Και πάλι, ο εισβολέας πρέπει να είναι στο ίδιο τοπικό δίκτυο με το θύμα.
Ο συμβιβασμός χρησιμοποιεί μια μέθοδο που ονομάζεται spoofing ARP (Address Resolution Protocol), όπου η διαδικτυακή κυκλοφορία της κινητής συσκευής του θύματος διοχετεύεται μέσω του υπολογιστή του εισβολέα. Ο Reventlov έγραψε ότι είναι τότε δυνατή η παρακράτηση του cookie απλού κειμένου.
Χρησιμοποιώντας ένα άλλο εργαλείο για να τροποποιήσετε τις κεφαλίδες ενός προγράμματος περιήγησης ιστού κατά τη μετάδοσή του στους διακομιστές της Instagram, είναι δυνατό να συνδεθείτε ως θύμα και να αλλάξετε το θύμα διεύθυνση ηλεκτρονικού ταχυδρομείου, με αποτέλεσμα τον συμβιβασμό λογαριασμού. Η λύση για το Instagram είναι εύκολη: ο ιστότοπος θα πρέπει να χρησιμοποιεί πάντα HTTPS για αιτήματα API που έχουν ευαίσθητα δεδομένα, έγραψε ο Reventlov
"Έχω διαπιστώσει ότι πολλές εφαρμογές iPhone είναι ευάλωτες σε τέτοια πράγματα, αλλά όχι πάρα πολλά είναι υψηλού προφίλ εφαρμογές όπως το Instagram, "έγραψε ο Reventlov σε ένα μήνυμα ηλεκτρονικού ταχυδρομείου στην υπηρεσία ειδήσεων IDG.
Ούτε οι υπάλληλοι της Instagram ούτε το Facebook θα μπορούσαν να επικοινωνήσουν άμεσα τη Δευτέρα. Ο Reventlov έγραψε στις συμβουλές του ότι έλαβε μια αυτοματοποιημένη απάντηση όταν του είπε στην Instagram το θέμα.
Στείλτε συμβουλές ειδήσεων και σχόλια στο [email protected]. Συνέχεια μου στο Twitter: @jeremy_kirk
Οι ενημερώσεις κώδικα που θα κυκλοφορήσουν στο λεγόμενο Patch Tuesday περιλαμβάνουν διορθώσεις για ευπάθεια που επιτρέπει την απομακρυσμένη εκτέλεση κώδικα στο Windows Media Player 11 σε διάφορα λειτουργικά συστήματα της Microsoft και για μια ευπάθεια που επιτρέπει την απομακρυσμένη εκτέλεση κώδικα σε διάφορες εκδόσεις του λειτουργικού συστήματος Windows και των σχετικών προϊόντων, συμπεριλαμβανομένων των 2003 Server, Vista, XP, Office, .Net Framework, Works, Visual Studio, Visual FoxPro και άλλ
Τα δύο άλλα Patches θα αντιμετωπίσουν απομακρυσμένη εκτέλεση κώδικα στο Windows Media Encoder 9 και στο Office OneNote 2007.
Η Adobe Systems δημοσίευσε μια ενημερωμένη έκδοση ασφαλείας για την Shockwave Player της για να διορθώσει μια κρίσιμη ευπάθεια. κυκλοφόρησε μια ενημερωμένη έκδοση κώδικα για τον Shockwave Player για να διορθώσει μια κρίσιμη ευπάθεια, η εταιρία έγραψε στο blog ασφαλείας της την Τρίτη
Η Adobe δεν έδωσε πολλές λεπτομέρειες για την ευπάθεια, αλλά έγραψε ότι είναι απομακρυσμένη εκμετάλλευση, για να μολύνει έναν υπολογιστή με κακόβουλο λογισμικό μέσω του Διαδικτύου.
Η Instagram απενεργοποίησε πρόσφατα την κάρτα ενσωμάτωσης Twitter, πράγμα που σημαίνει ότι οι εικόνες Instagram δεν εμφανίζονται πλέον στις ροές του χρήστη του Twitter. Η φωτογραφική υπηρεσία Instagram που ανήκει στο Facebook είχε λάβει την απόφαση να απενεργοποιήσει την κάρτα ενοποίησης εξαιτίας των αυξανόμενων καταγγελιών των χρηστών όσον αφορά την περικοπή εικόνων και την προβολή των φωτογραφιών του Instagram στο Twitter.
Λοιπόν, αν απογοητευτείτε από αυτή την απόφαση του Instagram, υπάρχει λύση για εσάς. Αμέσως μετά από λίγες ώρες λειτουργίας του Instagram για την απενεργοποίηση της κάρτας ενσωμάτωσης Twitter, ο Micahel Schonfeld κυκλοφόρησε μια νέα επέκταση του Chrome που φέρνει τις φωτογραφίες του Instagram πίσω στο Twitter.