Instasheep– Công cụ tấn công tài khoản Instagram

Tiếp nối việc một lỗ hổng nguy hiểm nằm trong giao tiếp HTTP của ứng dụng Instagram đã được công bố. Hôm nay, một nhà phát triển người Anh là Stevie Graham đã phát hành một công cụ Instasheep trên Facebook, đây là một add-on Firefox có thể được sử dụng để gây nguy hại cho các tài khoản Instagram trực tuyến trong một số trường hợp chỉ bằng một click chuột.

Graham đã phát hiện ra vấn đề của Instagram từ năm trước và bất ngờ khi Facebook sửa chữa nó. Anh đã phát hành công cụ sau khi Facebook từ chối trả tiền thưởng cho các báo cáo lỗ hổng gây ảnh hưởng đến ứng dụng di động Instagram iOS.

Facebook ngay lập tức được báo cáo về vấn đề liên quan đến việc giao tiếp dữ liệu bên trong ứng dụng Instagram iOS và tìm giải pháp sửa chữa bằng cách triển khai HTTPS nhưng không rõ ràng là sau bao lâu nó sẽ được triển khai.

Khai thác lỗ hổng này có thể khiến người dùng ứng dụng iOS bị tấn công man-in-the-middle (MITM) khi mà Instagram gửi một số dữ liệu không được mã hóa qua HTTP bao gồm cả cookie. Một kẻ tấn công sau đó có thể tái sử dụng các HTTP cookie này để xâm nhập vào tài khoản Instagram của nạn nhân. Graham đã viết trên trang Ycombinator “Tất cả cần có là một người đủ khả năng để phát hành một công cụ đơn giản mà ngay cả một script kiddie có thể sử dụng nó”.

Người đồng sáng lập Instagram là Mike Krieger đã trả lời vấn đề thông qua Ycombinator:

“Chúng tôi đang tích cực làm việc để đưa ra bản cập nhật có sử dụng HTTPS trong khi vẫn có thể đảm bảo hiệu suất, tính ổn định và trải nghiệm của người dùng. Đây là một dự án chúng tôi hy vọng sớm hoàn thành và sẽ chia sẻ nó trong blog để các công ty khác có thể học hỏi từ nó”.

Theo THN