Se upp! Facebooks bilddelningstjänst har nyligen korrigerat en kritisk sårbarhet som kan göra det möjligt för hackare att kompromissa med något Instagram-konto utan att kräva någon interaktion från riktade användare.
Instagram växer snabbt – och med det mest populära sociala medienätverket i världen efter Facebook dominerar bilddelningsnätverk när det gäller användarengagemang och interaktion.
Trots att sofistikerade säkerhetsmekanismer finns på plats är större plattformar som Facebook, Google, LinkedIn och Instagram inte helt immun mot hackare och innehåller allvarliga sårbarheter.
Vissa sårbarheter har korrigerats nyligen, andra håller fortfarande på att repareras och många andra är troligt att existera, men har ännu inte upptäckts.
Detaljerna om en av dessa kritiska sårbarheter på Instagram dök upp idag på Internet så att fjärrattackare kan återställa alla Instagram-lösenord och ta full kontroll över det.
Upptäckt och rapporterat på ett ansvarsfullt sätt av den indiska buggprisjägaren Laxman Muthiyah, sårbarheten ligger i lösenordåterställningsmekanismen som implementerats av mobilversionen av Instagram.
“Återställ lösenord” eller “återställning av lösenord” är en funktion som gör att användare kan få åtkomst till sina konton på webbplatsen om de glömmer lösenordet.
Aktivt Instagram måste användare bekräfta att en sexsiffrig hemlig lösenord (som löper ut efter 10 minuter) skickas till relevant mobilnummer eller e-postkonto för att bevisa sin identitet.
Det betyder att en av en miljon kombinationer kan låsa upp Instagram-konton med attacker för brute force, men det är inte så enkelt som det låter, eftersom Instagram har hastighetsbegränsningar aktiverade för att förhindra sådana attacker.
Laxman fann emellertid att denna hastighetsbegränsning kunde kringgås genom att skicka brute force-begäranden från olika IP-adresser och förbättra rasförhållandena, skicka samtidiga förfrågningar för att behandla flera försök samtidigt.
“Faren för ras (samtidiga förfrågningar) och IP-rotation tillåter mig att kringgå det. Annars är det inte möjligt. 10-minuters utgångstid är nyckeln till deras hastighetsbegränsande mekanism, varför de inte verkställer kodblockering permanent”, sa Laxman till The Hacker News.
Som visas i videodemonstrationen ovan visade Laxman framgångsrikt sårbarheten för att kapa Instagram-konton genom att snabbt försöka 200 000 olika lösenordskombinationer (20% av alla) utan att blockeras.
“I ett riktigt attackscenario behöver en angripare 5 000 IP: er för att hacka till ett konto. Låter bra, men det är faktiskt enkelt om du använder en molntjänstleverantör som Amazon eller Google. Det kommer att kosta cirka 150 dollar att utföra totalt en miljon kodattacker.”
Laxman har också släppt ett bevis på konceptutnyttjande för sårbarhet, som nu har lagats av Instagram, och företaget gav Laxman ett pris på 30 000 dollar som en del av sitt buggprisprogram.
För att skydda ditt konto från flera typer av onlineattacker, samt för att minska dina chanser att bli komprometterade när en angripare direkt riktar sig till en sårbar applikation, rekommenderas användarna starkt att aktivera “tvåfaktorautentisering”, vilket kan förhindra hackare att komma åt ditt konto trots att de på något sätt lyckats stjäla lösenord Du.
