Co musíš vědět o tom, kdo je hacker?
] Bezpečnostní výzkumník zveřejnil v pátek další útok na Facebookovou službu sdílení fotografií Instagram, která by mohla umožnit hackerovi, aby využil kontrolu nad účtem oběti.
Útok byl vyvinut Carlosem Reventlovem zranitelnost, kterou našel v Instagramu v polovině listopadu. On oznámil Instagram problém 11. listopadu, ale od minulého úterý, to nebylo opraveno.
Chyba je v verze 3.1.2 aplikace Instagram, vydané na 23. října, pro iPhone. Reventlov zjistil, že zatímco některé citlivé aktivity, jako je přihlašování a editaci profilových dat, jsou zašifrovány při odeslání do aplikace Instagram, byla jiná data odeslána v prostém textu. Testoval dva útoky na iPhone 4 se systémem iOS 6, kde nejprve zjistil problém.
[Další informace: Jak odstranit malware z počítače se systémem Windows]"Když oběť spustí aplikaci Instagram, -textový soubor cookie je odeslán na server Instagram, "napsal Reventlov. "Jakmile útočník dostane cookie, je schopen vytvářet speciální požadavky na HTTP pro získávání dat a mazání fotografií."
Jednoduchý text cookie může být zachycen pomocí útoku typu "man-in-the-middle", pokud je hacker na stejné síti LAN (místní síť) jako oběť. Po získání souboru cookie může hacker smazat nebo stahovat fotografie nebo přistupovat k fotografiím jiné osoby, která je s oběťmi přátelská.
Dánská bezpečnostní společnost Secunia ověřila útok a vydala poradní.
Reventlov pokračoval ve studiu potenciál této zranitelnosti a zjištění, že problém cookie může také umožnit hackerovi převzít účet oběti. Útočník musí být opět ve stejné síti jako oběti.
Kompromis používá metodu nazvanou spoofing ARP (Address Resolution Protocol), kde je provoz webového provozu mobilního zařízení oběti směrován přes počítač útočníka. Reventlov napsal, že je pak možné zachytit cookie prostého textu.
Použitím jiného nástroje k úpravě hlaviček webového prohlížeče během přenosu na servery společnosti Instagram je možné se pak přihlásit jako oběť a změnit oběti e-mailovou adresu, což vede ke zneužití účtu. Oprava pro Instagram je snadná: web by měl používat vždy HTTPS pro požadavky API, které mají citlivá data, napsal Reventlov.
"Zjistil jsem, že mnoho iPhone aplikací je na tyto věci zranitelné, ale příliš mnoho aplikace jako Instagram, "napsal Reventlov v e-mailu na IDG News Service.
V pondělí nebylo možné okamžitě kontaktovat úředníky Instagram ani Facebook. Reventlov napsal ve svých dopisech, že dostal automatickou odpověď, když řekl Instagramu o problému.
Odeslat tipy na zprávy a komentáře na [email protected]. Následujte mě na Twitteru: @jeremy_kirk
Sdílení souborů Windows Zero-Day umožňuje převzetí počítače
Podle nového bezpečnostního poradenství od společnosti Microsoft chyba SMB, která může být která je určena k způsobení havárie, může být také použita k převzetí kontroly nad zranitelným počítačem.
E-mailový útok zneužívá zranitelnost na webu Yahoo k únosu účtů
Hackeři za nedávno zjištěnou kampaň útoku e-mailu zneužívají zranitelnost na webových stránkách Yahoo unesli e-mailové účty uživatelů Yahoo a používali je pro spam, tvrdí bezpečnostní výzkumníci z prodejce antivirových služeb Bitdefender.
Funkce Facebook Legacy vám umožňuje vybrat si dědice vašeho účtu
Facebook Legacy umožňuje uživatelům zvolit si dědice po jejich smrti pro svůj Facebook účet . Můžete si vybrat přítele jako starší kontakt.