This article is an automated machine-translation of an article in English. We know the translation isn't perfect, but we hope it's useful for people who don't read English.

استخدام اي فون الخاص بك على Instagram؟ يمكن مخطوفة حسابك، يدعي الباحث الأمني

Filed Under: Data loss, Facebook, iOS, Malware, Mobile, Security threats, Vulnerability

Instagram نشر الباحث الأمني ​​يوم الجمعة هجوم إثبات صحة مفهوم لدائرة الرقابة الداخلية على Instagram والتي قد تسمح للمستخدمين الخبيثة عن بعد لخطف حسابات الضحايا.

ضعف الدورة الخيل، اكتشف Reventlov كارلوس، ينبع من Instagram كيف يتعامل مع ملفات تعريف الارتباط.

انها واحدة من اثنين من المسائل المرتبطة بذلك مناولة تعريف الارتباط التي وجدت في بحثه منتصف نوفمبر تشرين الثاني.

أخطرت Reventlov Instagram من المشكلة في 11 نوفمبر تشرين الثاني لكن خارج رد تلقائي، وقال انه يدعي انه لم يسمع زقزقة، وثغرة أمنية لا تزال بحاجة إلى ترميم.

يكتب أن القضية تنبع من طريقة لإرسال Instagram غير مشفرة، سهل الكعكة النص إلى خادم Instagram عندما يبدأ المستخدمون في التطبيق، والقيام بأي عمل يتطلب مصادقة، مثل تروق أو unliking الصور.

ويمكن لمستخدم ضار على LAN نفس الضحية إطلاق محاكاة ساخرة بسيطة مع همية تحليل العنوان (ARP) بروتوكول رسالة الحيل الأجهزة النقالة في إعادة توجيه حركة المرور من خلال المنفذ 80 آلة المهاجم، Reventlov يقول.

الذي يعطي وصول مهاجم الكوكيز Instagram في نص عادي. مع ملفات تعريف الارتباط في متناول اليد، وأنه غير قادر على تسجيل الدخول إلى حساب الضحية، وحذف الصور، وتحرير بيانات هذا الملف الشخصي

وأما الخطر الثاني الذي Reventlov المشتركة مع Instagram يجعل فون عرضة للتنصت والرجل في داخل المتوسطة (MITM) الهجمات التي يمكن أن تمكن مهاجم لحذف الصور، وتحميل البيانات من جهاز الضحية.

كما هو عليه الآن، Instagram يتصل مع API عبر HTTP Instagram واتصالات HTTPS.

في حين يتم إرسال الانشطة الحساسة، مثل تسجيل الدخول وتحرير البيانات الشخصي، من خلال قناة آمنة، يتم إرسال طلبات أخرى من خلال HTTP عادي بدون توقيع.

أسلوب المصادقة فقط لبعض المكالمات HTTP هو ملف تعريف الارتباط القياسية، أرسلت غير مشفرة، عندما يبدأ مستخدم التطبيق Instagram، Reventlov يكتب.

دليل على الهجوم على مفهوم Instagram

تم اختبار القضايا الأمنية على Instagram 3.1.2 ل iPhone، التي Instagram الفيسبوك المملوكة للصدر في 23 اكتوبر تشرين الاول.

ولكن كما لاحظت في تقريرها سيكونيا الاستشارية حول قضية الكشف النص العادي، قد تتأثر الإصدارات Instagram أخرى.

مستوى التهديد منخفضة، وفقا لReventlov.

الإصلاح لضعف الدورة ركوب بسيطة جدا، Reventlov يقول: الموقع Instagram يجب فقط استخدام ملفات تعريف الارتباط آمنة.

بقدر ما يذهب القضية في وقت سابق، إلى أن Reventlov بينما نحن في انتظار الإصلاح، مستخدمين عصا لHTTPS لجميع طلبات API التي يمكن أن تحتوي على بيانات حساسة، مثل عناوين URL للصور.

أيضا، توصي الباحثة إلحاق توقيع لغير مشفرة الطلبات.

Instagram and Facebook, image by Jonathan360 الكشف Reventlov من الثغرات الأمنية، والفترة الزمنية القصيرة التي قدمها Instagram لمعالجتها قبل الكشف عن التفاصيل، لم يفز له الإعجاب العالمي.

سوفوس لجراهام كلولي، على سبيل المثال، يعتقد أنه حتى لو Reventlov لم تتلق ردا مفيدة من صناع Instagram، ونشر تفاصيل عن كيفية استغلال ثغرات أمنية مزعومة كان غير مسؤول.

"Reventlov يبدو أن تعطى فقط Instagram بضعة أسابيع للحصول على العمل معا وإصلاح نظمها، وهذا لا يبدو مثل طويلة بما فيه الكفاية بالنسبة لي"، وقال كلولي. "حتى لو كان محبطا لعدم وجود رد من Instagram، نشر معلومات على الشبكة حول كيفية استغلال نظمها وربما بطريقة خاطئة للحصول على انتباههم. بدلا من ذلك، كنت قد دعت القطاع الخاص مما يدل Reventlov الخلل لصحفي المسؤولة ، قد وضعت ضغوطا على الذين Instagram للكشف عن خططها لإصلاح المشكلة. "

كلولي يعتقد أن الكشف العلني عن نقاط الضعف، بما في ذلك إثبات صحة مفهوم الرمز، يمكن أن تزيد من فرص استغلال المتسللين الخبيثة التي تحتوي على أنظمة الثغرات الأمنية - وبالضرورة لا تستفيد المستخدم النهائي.

أيهما جانب من المناقشة تجلس على، دعونا نأمل أن Instagram حل المشكلة فورا مع الحد الأدنى من الجلبة.


You might like

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

About the author

I've been writing about technology, careers, science and health since 1995. I rose to the lofty heights of Executive Editor for eWEEK, popped out with the 2008 crash, joined the freelancer economy, and am still writing for my beloved peeps at places like Sophos's Naked Security, CIO Mag, ComputerWorld, PC Mag, IT Expert Voice, Software Quality Connection, Time, and the US and British editions of HP's Input/Output. I respond to cash and spicy sites, so don't be shy.