La scappatoia di sicurezza di Instagram consente agli aggressori di eliminare le foto e prendere in carico gli account

Instagram potrebbe essere diventata l'app per la condivisione di foto più popolare e più utilizzata per le piattaforme iOS e Android ma, proprio come qualsiasi altra app, non è perfetta. Di fatto, una nuova scappatoia è stata scoperta di recente. Secondo gli esperti, il nuovo difetto di sicurezza di Instagram potrebbe consentire agli aggressori di eliminare le foto o persino di prendere in carico gli account. La scappatoia è stata scoperta in Instagram versione 3.1.2 su un dispositivo iOS.

L'API di Instagram utilizza entrambe le connessioni HTTP e HTTPS per inviare richieste e dati. Le informazioni sensibili come i dati di modifica del profilo e le credenziali di accesso vengono spesso inviate tramite HTTPS perché è un canale protetto. Ma recentemente è stato scoperto da persone di reventlov.com che alcuni dati vengono effettivamente inviati usando l'altro canale che rende vulnerabili allo sfruttamento da parte di alcuni aggressori che potrebbero aver conosciuto la scappatoia.

Se i dati vengono inviati tramite il canale HTTP, l'unica forma di autenticazione richiesta è un cookie standard che viene spesso inviato senza crittografia ogni volta che un utente avvia l'app di Instagram. Gli aggressori che potrebbero trovarsi sulla stessa rete con l'iPhone o l'iPad potrebbero essere in grado di intercettare i dati attraverso un semplice attacco di tipo "arpspoofing" e possono sfruttare le informazioni a loro piacimento. Se ciò accade e gli autori di attacchi potrebbero essere in grado di autenticarsi utilizzando le informazioni intercettate, hanno già un accesso definitivo all'account e possono cambiare le credenziali di accesso in qualsiasi momento o eliminare le foto.

Le persone che hanno scoperto il difetto lo hanno reso pubblico il 10 novembre e l'hanno contattato su Instagram il giorno dopo, ma tutto ciò che hanno ottenuto è stata una risposta automatica. Fino ad ora, questo problema potrebbe essere ancora in corso, quindi i possessori di dispositivi iOS che potrebbero utilizzare più spesso Instagram dovrebbero utilizzare il canale HTTPS la maggior parte delle volte o non utilizzare mai un punto di accesso WiFi aperto.

Questo problema potrebbe riguardare solo Instagram, ma più spesso gli hacker sanno esattamente cosa trovare per poter accedere ad altri account tra cui Facebook, Twitter e persino le e-mail. Le misure precauzionali dovrebbero essere prese soprattutto da persone che potrebbero memorizzare alcuni dati sensibili sui loro dispositivi.

[fonte: Reventlov]