Instagram, un cookie mette a rischio gli account

Una vulnerabilità presente nell'applicazione per iOS permette ad un hacker di rubare l'account di Instagram e cancellare tutte le foto.
Una vulnerabilità presente nell'applicazione per iOS permette ad un hacker di rubare l'account di Instagram e cancellare tutte le foto.
Luca Colantuoni
Pubblicato il 3 dic 2012

Un ricercatore di sicurezza ha scoperto una vulnerabilità nel noto servizio di foto sharing che potrebbe essere sfruttata per rubare l’account degli utenti. Carlos Reventlov ha pubblicato il codice dell’exploit con il quale è possibile intercettare le comunicazioni tra l’applicazione per iOS e i server di Instagram. La tecnica utilizzata prende il nome di ARP spoofing e permette di compiere diverse attività sul profilo della vittima, tra cui il download o la cancellazione di tutte le foto pubblicate. La falla di sicurezza, individuata il 10 novembre, non è stata ancora risolta.

La vulnerabilità è stata scoperta nella versione 3.1.2 dell’applicazione per iOS rilasciata il 23 ottobre scorso. Dopo aver eseguito diversi test con un iPhone 4 basato su iOS 6, Reventlov ha trovato che la trasmissione di alcuni dati viene effettuata in chiaro, mentre altre in forma criptata. Attività molto sensibili, come il login e la modifica del profilo, avvengono su un canale sicuro mediante il protocollo HTTPS. Altre richieste invece vengono inviate senza nessun tipo di crittografia. Il metodo di autenticazione per alcune chiamate HTTP è un semplice cookie (un file di testo) inviato ai server Instagram quando l’utente avvia l’applicazione.

Se un malintenzionato riesce ad intercettare questo cookie, usando un attacco man-in-the-middle, può impossessarsi dell’account della vittima, modificare il profilo, scaricare o eliminare le foto, e vedere anche le foto degli amici. Affinché l’attacco possa avere successo è comunque necessario che l’utente legittimo e l’hacker si trovino sulla stessa LAN, un’eventualità non molto remota vista la diffusione degli hotspot WiFi. La tecnica utilizzata è denominata ARP spoofing con la quale vengono inviati falsi messaggi sulla LAN per intercettare i dati in uscita dal dispositivo iOS e incanalarli verso il computer dell’attaccante.

La soluzione suggerita da Reventlov è semplice: utilizzare sempre una connessione HTTPS per tutte le richieste tramite le API Instagram. A tutt’oggi però, dopo quasi un mese dalla scoperta, la vulnerabilità non è stata ancora risolta.

Ti consigliamo anche

Una VPN veloce per non laggare più online: questa è la scelta più conveniente
Software e App

Una VPN veloce per non laggare più online: questa è la scelta più conveniente
Con NordVPN hai 2 anni di VPN a 3,69 euro al mese + 3 mesi extra gratis
VPN

Con NordVPN hai 2 anni di VPN a 3,69 euro al mese + 3 mesi extra gratis
È legale usare una VPN in Italia? Cosa c'è da sapere e quale scegliere oggi
Software e App

È legale usare una VPN in Italia? Cosa c'è da sapere e quale scegliere oggi
Quale VPN scegliere oggi? È semplice, c'è NordVPN in offerta (-65%)
Software e App

Quale VPN scegliere oggi? È semplice, c'è NordVPN in offerta (-65%)
Link copiato negli appunti