Προσοχή! Το Instagram επιδιόρθωσε πρόσφατα μια κρίσιμη ευπάθεια που θα μπορούσε να έχει επιτρέψει στους hackers να παραβιάσουν οποιοδήποτε λογαριασμό χωρίς να απαιτούν οποιαδήποτε αλληλεπίδραση από τους στοχευόμενους χρήστες.
Το Instagram αναπτύσσεται γρήγορα αποτελώντας το δεύτερο δημοφιλέστερο δίκτυο κοινωνικών μέσων στον κόσμο -μετά το Facebook– και έναν από τους πιο αγαπημένους στόχους των κακόβουλων χρηστών.
Παρά το γεγονός ότι έχουν προηγμένους μηχανισμούς ασφαλείας, οι μεγαλύτερες πλατφόρμες όπως το Facebook, η Google, το LinkedIn και το Instagram δεν είναι απολύτως άνοσα στους hackers και περιέχουν σοβαρά τρωτά σημεία.
Ορισμένα τρωτά σημεία έχουν πρόσφατα επιδιορθωθεί, μερικά βρίσκονται ακόμα υπό διαδικασία σταθεροποίησης και πολλά άλλα πιθανότατα υπάρχουν, αλλά δεν έχουν βρεθεί ακόμα.
Λεπτομέρειες για τη συγκεκριμένη κρίσιμη ευπάθεια στο Instagram δημοσιοποιήθηκαν στο διαδίκτυο σήμερα, η οποία θα μπορούσε -όπως προαναφέραμε- να επιτρέψει σε έναν απομακρυσμένο εισβολέα να επαναφέρει τον κωδικό πρόσβασης για οποιονδήποτε λογαριασμό Instagram και να λάβει τον πλήρη έλεγχο.
Ανακαλύφθηκε και αναφέρθηκε από τον Ινδό bug bounty hunter Laxman Muthiyah. Το τρωτό σημείο κατοικούσε στον μηχανισμό ανάκτησης κωδικού πρόσβασης που εφαρμόστηκε από την κινητή έκδοση του Instagram.
Η “επαναφορά κωδικού πρόσβασης” ή “ανάκτηση κωδικού πρόσβασης” είναι μια λειτουργία που επιτρέπει στους χρήστες να ανακτήσουν πρόσβαση στον λογαριασμό τους σε έναν ιστότοπο σε περίπτωση που ξεχάσουν τον κωδικό πρόσβασής τους.
Ουσιαστικά, στο Instagram, οι χρήστες λαμβάνουν έναν εξαψήφιο μυστικό κωδικό πρόσβασης (ο οποίος λήγει μετά από 10 λεπτά) στον αριθμό κινητού ή σε λογαριασμό ηλεκτρονικού ταχυδρομείου για να αποδείξουν την ταυτότητά τους.
Αυτό σημαίνει ότι ένας από τους εκατομμύρια συνδυασμούς μπορεί να ξεκλειδώσει οποιοδήποτε λογαριασμό Instagram χρησιμοποιώντας brute force attack… αλλά δεν είναι τόσο απλό όσο ακούγεται, καθώς το Instagram διαθέτει rate-limiting που επιτρέπει την αποτροπή τέτοιων επιθέσεων.
Ωστόσο, ο Laxman διαπίστωσε ότι το rate limiting μπορεί να παρακάμπτεται στέλνοντας brute force requests από διαφορετικές διευθύνσεις IP στέλνοντας παράλληλα αιτήματα για ταυτόχρονη επεξεργασία πολλαπλών προσπαθειών.
Η παράλληλη αποστολή αιτημάτων και το IP rotation επιτρέπουν την παράκαμψη του μέτρου ασφαλείας. Ο χρόνος λήξης 10 λεπτών είναι το κλειδί του μηχανισμού περιορισμού.
«Σε ένα πραγματικό σενάριο επίθεσης, ο επιτιθέμενος χρειάζεται 5000 IP για να χακάρει έναν λογαριασμό… ακούγεται μεγάλος, αλλά αυτό είναι πραγματικά εύκολο εάν χρησιμοποιήσετε έναν παροχέα υπηρεσιών cloud όπως της Amazon ή της Google. Θα κοστίσει περίπου 150 δολάρια για να εκτελέσει την πλήρη επίθεση μέσω ενός εκατομμυρίου κωδικών.» τόνισε ο ερευνητής.
Ο Laxman κυκλοφόρησε επίσης ένα proof-of-concept exploit για την ευπάθεια, η οποία έχει πλέον διορθωθεί από το Instagram, και η εταιρεία τον αντάμειφσε με $ 30,000 ως μέρος του προγράμματος bounty bug.
Για να προστατεύσετε τους λογαριασμούς σας από πολλούς τύπου επιθέσεις στο διαδίκτυο, αλλά και να μειώσετε τις πιθανότητές σας να πέσετε θύματα hacking όταν οι κακόβουλοι χρήστες επιτίθενται άμεσα σε ευάλωτες εφαρμογές, συνιστάται ιδιαίτερα να ενεργοποιήσετε τον έλεγχο ταυτότητας δύο παραγόντων, ο οποίος θα μπορούσε να αποτρέψει τους hackers να έχουν πρόσβαση στους λογαριασμούς σας.
