Ο Stevie Graham, είναι ένας ερευνητής ασφαλείας που ανέφερε ένα ελάττωμα ελέγχου ταυτότητας στο λογισμικό του iOS της Instagram πριν από λίγες ημέρες. Ο ερευνητής δεν πήρε κάποια χρηματική επιβράβευση όταν ανέφερε το bug στο Facebook.
Προφανώς, επειδή η ευπάθεια δεν ήταν νέα, και όχι επειδή δεν είναι σοβαρή. (Η ευπάθεια είχε αναφερθεί από το 2012.)
Έτσι ο Graham άρχισε να δημοσιεύει οδηγίες για το κοινό που κατευθύνουν τον κάθε ενδιαφερόμενο για το πώς να παραβιάσει λογαριασμούς του Instagram.
Το μόνο που χρειάζεστε είναι ένα κοινόχρηστο Wi-Fi, μια εφαρμογή sniffer, και τη γνώση ότι θα παραβιάσετε το νόμο αν εισβάλετε στην ιδιωτική ζωή κάποιου.
Η επίθεση μπορεί να πραγματοποιηθεί μέσω Firesheep.
Γνωρίζετε το Firesheep;
Το 2010, τα κοινωνικά δίκτυα όπως το Twitter και το Facebook διαχειριζόταν το session authentication κάπως έτσι:
- Αποδοχή μια σύνδεσης χρησιμοποιώντας το HTTPS (ασφαλές HTTP), κάτι που επιτρέπει στο χρήστη να εισάγει το όνομα χρήστη και τον κωδικό πρόσβασης σε μια κρυπτογραφημένη σύνδεση.
- Οι παραπάνω ιστοσελίδες στέλνουν πίσω ένα μοναδικό “cookie περιόδου λειτουργίας” ή όπως είναι γνωστό ένα “session cookie”, που ισχύει μέχρι την αποσύνδεση, με ένα one-time κρυπτογραφικό κώδικα που αποδεικνύει ότι ο χρήστης έχει συνδεθεί σωστά.
- Στη συνέχεια η αποδοχή αυτού του cookie γινόταν μέσω μια μη ασφαλής σύνδεσης (HTTP).
Έτσι, κάποιος δεν θα μπορούσε να “πιάσει” τον κωδικό πρόσβασης του χρήστη, αλλά θα μπορούσε άνετα να πιάσει το cookie εισόδου του και να παραβιάσει τρέχουσες συνδέσεις στο Twitter ή στο Facebook σε πραγματικό χρόνο.
Τι κάνω με το Firesheep
Το Firesheep ήταν ένα πρόσθετο για τον Firefox που αυτοματοποιεί τη διαδικασία αναμονής για τη σύνδεση κάποιου χρήστη και στη συνέχεια, κλέβει τα cookies εισόδου.
Αυτό επιτρέπει την παραβίαση λογαριασμών, τουλάχιστον μέχρι ο ιδιοκτήτης να συνειδητοποιήσει τι συμβαίνει και αποσυνδεθεί.
Το Firesheep, θα μπορούσε από μόνο του να κινητοποιήσει εταιρείες σαν το Twitter ή το Facebook να χρησιμοποιούν συνεχώς HTTPS.
Φυσικά όπως το Facebook, και το Twitter υπάρχουν πάρα πολλοί άλλοι που χρησιμοποιούν ένα μη κρυπτογραφημένο cookie περιόδου λειτουργίας.
Έτσι εδώ και τέσσερα χρόνια, φαίνεται ότι η εφαρμογή Instagram για iOS λειτουργεί με τον ίδιο ακριβώς τρόπο όπως εξηγείται παραπάνω.
Εν ολίγοις, επιτρέπει συνδέσεις HTTP μετά την αρχική είσοδο.
[tweet_embed id=493469001075679232]
Έτσι, οι χρήστες του Instagram με iPhones και iPads μπορούν να “χάσουν” τους λογαριασμούς τους πολύ έυκολα, αναφέρει ο Stevie Graham και δημοσίευσε πέντε απλά βήματα για να το κάνετε:
Εμείς θα σας πούμε 1 πολύ σοβαρό λόγο για να μην το κάνετε
(Τουλάχιστον, μην το κάνετε στο λογαριασμό κάποιου άλλου, εκτός αν σας δώσει την άδεια του.)
Είναι παράνομο.
Αλλά αν είναι πραγματικά τόσο εύκολο όπως αναφέρει ο Graham, το Facebook μάλλον θα αντιδράσει πολύ γρήγορα.