Исследователь безопасности Мазин Ахмед (Mazin Ahmed) обнаружил критическуюуязвимостьв приложении Instagram для Android, позволяющую атакующемувзломатьучетную запись пользователя, получить контроль над управлением и публикацией фотографий, а также редактировать и удалять комментарии.

Приложение соединяется ссервером через незашифрованный протокол HTTP,который может быть изменен злоумышленником с целью перехвата. Ахмед использовал программу на своем смартфоне, осуществляя при этом мониторинг трафика с помощью анализатора WireShark. Эксперт обнаружил, что соединение уязвимо к перехвату пользовательской сессии, осуществляемой с помощью атаки «человек посередине».

Повторное использование перехваченных HTTP cookie сессии на другой системе илибраузерепозволяет злоумышленнику взломать сессию в учетной записи жертвы в Instagram.

«Как только я вошел в учетную запись в Instagram на своемтелефоне,WireShark перехватил незашифрованныеданные,проходящие через HTTP. Эти данные включали в себя фотографии, просматриваемые жертвой, cookie сессии, имя пользователя и ID», - сообщил Ахмед.

Эксперт уведомилFacebook,владеющую Instagram, о бреши. Представители компании сообщили о переводе сервиса на протокол HTTPS, однако пока неизвестно, как скоро это произойдет.