피해자의 계정을 장악하라.

이 공격은 Carlos Reventlov에 의해 개발되었다. 11 월 중순 Instagram에서 발견 된 취약점. 그는 Instagram에 11 월 11 일에 문제를 알렸지 만 지난 화요일 현재로는 수정되지 않았다.

10 월 23 일에 iPhone 용으로 발표 된 Instagram의 응용 프로그램 3.1.2 버전에 취약점이있다. Reventlov는 프로필 데이터 로그인 및 편집과 같은 일부 민감한 활동이 Instagram으로 전송 될 때 암호화되지만 다른 데이터는 일반 텍스트로 전송된다는 사실을 발견했습니다. 그는 iOS 6를 실행하는 iPhone 4에서이 두 가지 공격을 테스트하여 처음에 문제를 발견했습니다.

[추가 정보: Windows PC에서 멀웨어를 제거하는 방법]

"희생자가 Instagram 앱을 시작하면 일반 -text 쿠키가 Instagram 서버로 전송됩니다 "라고 Reventlov는 말했습니다. "공격자가 쿠키를 얻으면 그는 데이터를 가져오고 사진을 삭제하기위한 특별한 HTTP 요청을 만들 수 있습니다."해커가 중간에 사람이있는 한 중간 공격을 사용하여 일반 텍스트 쿠키를 가로 챌 수 있습니다. 피해자와 동일한 LAN (근거리 통신망)에 있습니다. 쿠키가 확보되면 해커는 사진을 삭제하거나 다운로드하거나 희생자와 친분이있는 다른 사람의 사진에 액세스 할 수 있습니다.

덴마크 보안 회사 인 시큐 니아가 공격을 확인하고 권고를 발표했습니다.

Reventlov는 계속 연구했습니다. 취약점의 잠재력과 쿠키 문제가 해커가 희생자의 계정을 넘겨 줄 수 있음을 발견했습니다. 다시 말하지만 공격자는 피해자와 동일한 LAN에 있어야합니다.

피해자의 모바일 장치의 웹 트래픽이 공격자의 컴퓨터를 통해 전달되는 ARP (Address Resolution Protocol) 스푸핑이라는 방법을 사용합니다. Reventlov는 일반 텍스트 쿠키를 가로 챌 수 있다고 썼다.

Instagram의 서버로 전송하는 동안 다른 도구를 사용하여 웹 브라우저의 헤더를 수정하면 피해자로 로그인하여 희생자의 이름을 바꿀 수있다 이메일 주소로 전송되어 계정이 손상 될 수 있습니다. Reventlov는 "Instagram에 대한 해결책은 간단합니다. 사이트에서 민감한 데이터가 포함 된 API 요청에 항상 HTTPS를 사용해야합니다."

"많은 iPhone 앱이 이러한 것들에 취약하다는 것을 알았지 만 너무 많지는 않습니다. Reventlov는 IDG 뉴스 서비스에 전자 메일을 통해 썼다.

Instagram이나 Facebook 관계자는 월요일에 곧바로 연락 할 수 없다. Reventlov는 Instagram에이 문제에 관해 이야기 할 때 자동 회신을 받았다고 자신의 권고에서 썼습니다.

뉴스 팁과 의견은 [email protected]으로 보내주십시오. 트위터에서 나를 따라와: @ jeremy_kirk