24.07.2021

Hack Pub

Новости интересные и малоизвестные из IT индустрии

Обнаружена уязвимость в приложении Instagram для Android

Исследователь безопасности Мазин Ахмед (Mazin Ahmed) обнаружил критическую уязвимость в приложении Instagram для Android, позволяющую атакующему взломать учетную запись пользователя, получить контроль над управлением и публикацией фотографий, а также редактировать и удалять комментарии. Приложение соединяется с сервером через незашифрованный протокол HTTP, который может быть изменен злоумышленником с целью перехвата. Ахмед использовал программу на своем смартфоне, осуществляя при этом мониторинг трафика с помощью анализатора WireShark. Эксперт обнаружил, что соединение уязвимо к перехвату пользовательской сессии, осуществляемой с помощью атаки «человек посередине». Повторное использование перехваченных HTTP cookie сессии на другой системе или браузере позволяет злоумышленнику взломать сессию в учетной записи жертвы в Instagram. «Как только я вошел в учетную запись в Instagram на своем телефоне, WireShark перехватил незашифрованные данные, проходящие через HTTP. Эти данные включали в себя фотографии, просматриваемые жертвой, cookie сессии, имя пользователя и ID», — сообщил Ахмед. Эксперт уведомил Facebook, владеющую Instagram, о бреши. Представители компании сообщили о переводе сервиса на протокол HTTPS, однако пока неизвестно, как скоро это произойдет.