Το Facebook προσέφερε 10.000 $ σε έναν ερευνητή-white hat hacker, που ονομάζεται Laxman Muthiyah, καθώς ανακάλυψε μια κρίσιμη ευπάθεια που θα μπορούσε να χρησιμοποιηθεί από κακόβουλους hackers για το χακάρισμα λογαριασμών στο Instagram.
Το πρόβλημα εντοπίστηκε στη διαδικασία ανάκτησης κωδικού πρόσβασης του Instagram για κινητές συσκευές. Όταν κάποιος θέλει να κάνει επαναφορά του κωδικού πρόσβασης, του στέλνεται ένας εξαψήφιος κωδικός στο τηλέφωνο.
Η πλατφόρμα κοινωνικής δικτύωσης χρησιμοποιεί έναν μηχανισμό με σκοπό την αποτροπή brute-force επιθέσεων, που στοχεύουν στην απόκτηση αυτού του κωδικού.
Ο Muthiyah ανακάλυψε ότι το Instagram παράγει τυχαία ένα ID για κάθε συσκευή, το οποίο περιλαμβάνεται στο αίτημα επαναφοράς κωδικού πρόσβασης. Επίσης, αυτό το ID χρησιμοποιείται για τον έλεγχο της εγκυρότητας του κωδικού.
Ο ερευνητής ανακάλυψε ότι το Instagram επέτρεψε να χρησιμοποιηθεί το ίδιο ID συσκευής για πολλούς διαφορετικούς λογαριασμούς χρηστών. Αυτό μπορεί να βοηθήσει τους hackers να πραγματοποιήσουν brute-force επιθέσεις και να αποκτήσουν τους εξαψήφιους κωδικούς.
“Όπως μπορείτε να δείτε στην προηγούμενη ανάρτησή μου, το ID συσκευής είναι το μοναδικό αναγνωριστικό που χρησιμοποιείται από τον Instagram server για την επικύρωση κωδικών, που χρησιμοποιούνται για την επαναφορά του κωδικού πρόσβασης. Όταν ένας χρήστης κάνει αίτημα για κωδικό, χρησιμοποιώντας την κινητή συσκευή του, αποστέλλεται ένα ID συσκευής μαζί με το αίτημα», έγραψε ο ερευνητής. “Το ίδιο ID συσκευής χρησιμοποιείται και για την επαλήθευση του κωδικού”.
“Το ID συσκευής είναι μια τυχαία συμβολοσειρά που δημιουργείται από την εφαρμογή Instagram», είπε ακόμα.
Ο white hat hacker εξήγησε ότι υπάρχουν ένα εκατομμύριο συνδυασμοί για έναν 6 ψηφίο κωδικό πρόσβασης (000001 έως 999999). Είναι πιθανό να αυξηθεί η πιθανότητα hacking λογαριασμών Instagram ζητώντας να γίνει επαναφορά κωδικών πρόσβασης πολλών χρηστών.
Χρησιμοποιώντας το ίδιο ID συσκευής, ο κακόβουλος hacker θα μπορούσε να αποκτήσει τον εξαψήφιο κωδικό χιλιάδων χρηστών.
Το Facebook προσέφερε στον Muthiyah 10.000 δολάρια, ως ανταμοιβή για τα ευρήματά του.
Δεν είναι η πρώτη φορά που ο Muthiyah αποκαλύπτει την ύπαρξη σφάλματος στο Instagram. Τον Ιούλιο, ο ερευνητής είχε ανακαλύψει μια ευπάθεια που επέτρεπε στους επιτιθέμενους να αποκτήσουν τον έλεγχο οποιουδήποτε λογαριασμού.
Ο Muthiyah είχε λάβει από το Facebook αμοιβή 30.000 δολαρίων, στο πλαίσιο του bug bounty προγράμματος του.
Στο παρελθόν, ο ίδιος ερευνητής είχε λάβει και άλλες αμοιβές από την πλατφόρμα για τον εντοπισμό σφαλμάτων, που θα μπορούσαν να διαγράψουν βίντεο και φωτογραφίες των χρηστών.
