Nel corso delle ultime ore un ricercatore di sicurezza ha scoperto una vulnerabilità in Instagram che, a a quanto pare, potrebbe essere sfruttata per rubare l’account degli utenti che si servono del celebre servizio di photo sharing.
Carlos Reventlov ha infatti pubblicato il codice dell’exploit mediante cui è possibile intercettare le comunicazioni che intercorrono tra l’applicazione per device iOS ed i server di Instagram.
La tecnica sfrutta in tal caso è quella identificata con il nome di ARP spoofing e consente di effettuare diverse attività sul profilo dell’utente vittima, incluso il download o la rimozione di tutte le foto che sono state pubblicate dallo stesso sino a questo momento.
La vulnerabilità, nel dettaglio è stata scoperta nella versione 3.1.2 dell’applicazione per iOS che è stata rilasciata il 23 ottobre del 2012.
Dopo aver effettuato diversi test con un iPhone 4 basato su iOS 6 Reventlov ha individuato che la trasmissione di alcuni dati viene effettuata in chiaro, altri, invece, in forma criptata.
Attività molto sensibili, come il login e la modifica del profilo, avvengono su un canale sicuro mediante il protocollo HTTPS, altre richieste invece sono inviate senza alcun tipo di crittografia.
Il metodo di autenticazione per alcune chiamate HTTP è infatti un semplice cookie, un file di testo, che viene inviato ai server di Instagram quando l’utente avvia l’applicazione per cui se un eventuale malintenzionato riuscisse ad itnercettarlo potrebbe impossessarsi, sfruttando un attacco man-in-the-middle, dell’account dell’utente avendo inoltre la possibilità di procedere alla modifica del profilo, quella di scaricare o eliminare le foto scattate e pubblicate e, per non far mancare proprio nulla,a nche quella di visualizzare le immagini degli amici.
Per essere messo a segno con successo l’attacco dovrà essere effettuato sulla medesima rete LAN della vittima inviando falsi messaggi sulla stessa per intercettare i dati in uscita dal device iOS incanalandoli poi verso il computer dell’hacker.
Reventol suggerisc ecome soluzione l’utilizzo di una connessione HTTPS per tutte le richieste tramite le API Instagram ma ad oggi, a quasi un mese dalla scoperta, non è stato ancora posto alcun rimedio alla vulnerabilità.