В популярното приложение Instagram е открита сериозна уязвимост, която позволява на хакери да крадат потребителски акаунти.
Работата е там, че някои файлове cookies в услугата се изпращат незащитени – във вид на прост текст. По думите на Карлос Ревентлов, който е открил дупката в безопасността, cookies във вид на текст се изпращат, когато програмата се зарежда, докато при влизане в системата и редактиране на профила се използва криптиране. Съответно, за да получи достъп до чужд акаунт, достатъчно е хакерът да достигне незащитения файл.
„Когато зложелателят се добере до cookie-файла, той може да създаде специална HTTP заявка, за да получи данни или изтрие снимки“, – казва Ревентлов. Тази уязвимост е открита и проверена в iOS версията на Instagram 3.1.2.
Впрочем, за успешен пробив хакерът и потребителят трябва да са включени към една и съща мрежа. Ясно е, че това не може да стане потребителят ползва мобилна връзка, но използването на един и същ Wi-Fi може да доведе до плачевни резултати.
При успешен пробив, хакерът може да получи достъп не само до информация за потребителя, но и до снимки на неговите приятели. Освен това той може да промени паролата или да изтрие всички снимки на притежателя на акаунта. Наличието на такава уязвимост в Android версията на приложението засега не е потвърдено.
