Instagram güvenlik boşluğu saldırganların fotoğrafları silmesine ve hesapları ele geçirmesine olanak sağlar

Instagram hem iOS hem de Android platformları için en popüler ve en çok kullanılan fotoğraf paylaşım uygulaması olmuş olabilir, ancak diğer uygulamalarda olduğu gibi mükemmel değildir. Aslında, son zamanlarda yeni bir kaçamak keşfedildi. Uzmanlara göre, yeni Instagram güvenlik açığı saldırganların fotoğrafları silmesine ve hatta hesapları ele geçirmesine izin verebilir. Boşluk, bir iOS cihazında çalışan Instagram 3.1.2 sürümünde keşfedildi.

Instagram API'si istekleri ve verileri göndermek için hem HTTP hem de HTTPS bağlantılarını kullanır. Profil düzenleme verileri ve giriş bilgileri gibi hassas bilgiler, güvenli bir kanal olduğu için genellikle HTTPS üzerinden gönderilir. Ancak son zamanlarda reventlov.com'daki kişiler tarafından bazı verilerin gerçekte, bu boşluktan haberdar olan bazı saldırganlar tarafından sömürmeye açık hale getirilebilecek diğer kanal kullanılarak gönderildiği keşfedilmiştir.

Veriler HTTP kanalı üzerinden gönderilirse, gerekli olan tek kimlik doğrulama biçimi, bir kullanıcı Instagram uygulamasını her başlattığında genellikle şifreleme olmadan gönderilen standart bir çerezdir. İPhone veya iPad ile aynı ağda olabilecek saldırganlar, verileri basit bir hata ayıklama saldırısıyla engelleyebilir ve bu bilgileri istedikleri gibi kullanabilirler. Bu gerçekleşirse ve saldırganlar ele geçirilen bilgileri kullanarak kimlik doğrulaması yapabiliyorsa, hesaba zaten nihai bir erişime sahipler ve herhangi bir zamanda oturum açma bilgilerini değiştirebilir veya fotoğrafları silebilirler.

Kusuru keşfedenler, 10 Kasım'da kamuoyunu kamuoyuna açıkladı ve bir gün sonra Instagram ile temasa geçtiler, ancak ellerinden gelen tek şey otomatik bir cevaptı. Şimdiye kadar bu sorun devam ediyor olabilir; bu nedenle Instagram'ı daha sık kullanabilecek olan iOS cihaz sahiplerinin çoğu zaman HTTPS kanalını kullanması veya hiçbir zaman açık bir WiFi erişim noktasını kullanmaması gerekir.

Bu sorun yalnızca Instagram ile ilgili olabilir, ancak daha sık, saldırganlar Facebook, Twitter ve hatta e-postalar dahil diğer hesaplara erişebilmek için tam olarak ne bulacağını bilir. Özellikle bazı hassas verileri cihazlarında depolayan kişiler tarafından ihtiyati önlemler alınmalıdır.

[kaynak: Reventlov]