Новости компании
Обнаружена критическая уязвимость в приложении Instagram для Android
29/07/2014Исследователь безопасности Мазин Ахмед (Mazin Ahmed) обнаружил критическуюуязвимостьв приложении Instagram для Android, позволяющую атакующемувзломатьучетную запись пользователя, получить контроль над управлением и публикацией фотографий, а также редактировать и удалять комментарии. Приложение соединяется ссервером через незашифрованный протокол HTTP,который может быть изменен злоумышленником с целью перехвата. Ахмед использовал программу на своем смартфоне, осуществляя при этом мониторинг трафика с помощью анализатора WireShark. Эксперт обнаружил, что соединение уязвимо к перехвату пользовательской сессии, осуществляемой с помощью атаки «человек посередине». Повторное использование перехваченных HTTP cookie сессии на другой системе илибраузерепозволяет злоумышленнику взломать сессию в учетной записи жертвы в Instagram. «Как только я вошел в учетную запись в Instagram на своемтелефоне,WireShark перехватил незашифрованныеданные,проходящие через HTTP. Эти данные включали в себя фотографии, просматриваемые жертвой, cookie сессии, имя пользователя и ID», - сообщил Ахмед. Эксперт уведомилFacebook,владеющую Instagram, о бреши. Представители компании сообщили о переводе сервиса на протокол HTTPS, однако пока неизвестно, как скоро это произойдет. |