Na era da vigilância do governo, garantindo a segurança ea segurança das nossas comunicações privadas, independentemente da plataforma - e-mail, VOIP, mensagem, até mesmo cookies armazenados - deve ser a prioridade da indústria da Internet. Alguns indústria se uniram para oferecer criptografia como a proteção contra a vigilância do governo, mas alguns deixaram brechas de segurança que podem expor seus dados pessoais.Uma questão crítica sobre o Instagram Aplicativo para Android foi divulgado por um pesquisador de segurança que poderia permitir que um invasor possa roubar a conta dos usuários e com êxito acessar fotos privadas, excluir fotos da vítima, editar comentários e também postar novas imagens.
Instagram, adquirido pelo Facebook em abril de 2012 para cerca de EUA $ 1 bilhão, é um aplicativo de compartilhamento de fotos on-line móvel, de compartilhamento de vídeos e serviço de rede sociais que permite aos seus usuários tirar fotos e vídeos, aplicar filtros digitais e compartilhá-los em uma variedade de serviços de redes sociais, como Facebook, Twitter, Tumblr e Flickr.
O Aplicativo Instagram se comunica com o servidor através de uma conexão HTTP não criptografado, o que é suscetível de violação por qualquer pessoa em posição de interceptá-lo, Mazin Ahmed, que descobriu a vulnerabilidade explicou em um post do blog.
"Eu comecei a usar o aplicativo no meu celular, e monitorar o tráfego na rede usando WireShark, à procura de evidências de dados não criptografados que passa pela rede ou uma técnica para tornar esses dados sem criptografia (se ele foi criptografado)", disse Mazin.
Sequestro de Sessão - Instagram
Ele descobriu que a comunicação sem criptografia do Instagram também era vulneráveis a sessão hijacking falha que pode ser feito usando um ataque man-in-the-middle, técnica comum usada por atacantes para interceptar o tráfego de dados sem fio.
Reutilizar os cookies de sessão HTTP interceptados em outro sistema / browser permite que o invasor possa sequestrar a sessão da conta Instagram da vítima.
"Assim que eu entrar na minha conta no meu celular, Wireshark capturou dados não criptografados que passa por HTTP. Esses dados incluem: As imagens que as vítimas estão vendo, cookies de sessão da vítima, nome de usuário e ID da vítima ".
É realmente surpreendente que o maior gigante das redes sociais Facebook ignorou um grande problema em sua imagem e de compartilhamento de vídeos mais popular e não conseguiu tomar a medida máxima para garantir a segurança de seus usuários.
Agências de inteligência podem ter Explorado falha.
Mazin, que acredita que o problema pode estar sendo explorado pelas agências de inteligência com a finalidade de vigilância, Mazin informou a vulnerabilidade ao Facebook no dia 24 de julho, mas a sua equipe de segurança respondeu: "O Facebook aceita o risco de partes do Instagram se comunicar através de HTTP não acabou HTTPS. "
Facebook decidiu adotar HTTPS completas para a sua aplicação móvel Instagram no futuro próximo, mas até agora não está claro que quanto tempo vai demorar.
TheHackerNews