A brecha de segurança do Instagram permite que os invasores excluam fotos e assumam contas

O Instagram pode ter se tornado o aplicativo de compartilhamento de fotos mais popular e mais usado para as plataformas iOS e Android, mas, assim como qualquer outro aplicativo, não é perfeito. De fato, uma nova lacuna foi descoberta recentemente. De acordo com especialistas, a nova falha de segurança do Instagram pode permitir que atacantes excluam fotos ou até mesmo assumam contas. A brecha foi descoberta no Instagram versão 3.1.2 rodando em um dispositivo iOS.

A API do Instagram usa conexões HTTP e HTTPS para enviar solicitações e dados. Informações confidenciais, como dados de edição de perfil e credenciais de login, geralmente são enviadas via HTTPS, porque é um canal seguro. Mas recentemente foi descoberto por pessoas no reventlov.com que alguns dados são realmente enviados usando o outro canal tornando vulneráveis ​​a exploração por parte de alguns invasores que podem ter conhecido a brecha.

Se os dados forem enviados via canal HTTP, a única forma de autenticação exigida é um cookie padrão que é enviado sem criptografia toda vez que um usuário inicia o aplicativo Instagram. Os invasores que podem estar na mesma rede que o iPhone ou o iPad podem interceptar os dados por meio de um simples ataque de ataque aéreo e podem explorar as informações de acordo com sua preferência. Se isso acontecer e os invasores puderem se autenticar usando informações interceptadas, eles já terão acesso final à conta e poderão alterar as credenciais de login a qualquer momento ou excluir fotos.

As pessoas que descobriram a falha a tornaram pública em 10 de novembro e contataram o Instagram sobre isso um dia depois, mas tudo o que conseguiram foi uma resposta automática. Até agora, esse problema ainda pode estar em andamento, então os proprietários de dispositivos iOS que usem o Instagram com mais frequência devem usar o canal HTTPS na maioria das vezes ou nunca usar qualquer ponto de acesso WiFi aberto.

Esse problema pode ser apenas o Instagram, mas com mais frequência, os invasores sabem exatamente o que encontrar para conseguir acesso a outras contas, incluindo Facebook, Twitter e até e-mails. Medidas de precaução devem ser tomadas especialmente por pessoas que possam estar armazenando alguns dados confidenciais em seus dispositivos.

[fonte: Reventlov]