Lỗ hổng nghiêm trọng của Instagram trên ứng dụng di động

Một nhà nghiên cứu bảo mật đã tìm thấy vấn đề nghiêm trọng trên ứng dụng Android của Instagram có thể cho phép kẻ tấn công chiếm quyền điều khiển tài khoản của người sử dụng và truy cập thành công vào các hình ảnh riêng tư của người dùng. Có thể xóa hình ảnh của nạn nhân, chỉnh sửa nội dung cũng như đăng các hình ảnh mới.

Instagram, được Facebook mua lại vào tháng 4 năm 2012 với số tiền khoảng 1 tỷ USD, là một ứng dụng chia sẻ hình ảnh trực tuyến, video trên điện thoại di động và dịch vụ mạng xã hội cho phép người sử dụng chụp ảnh, quay video, áp dụng thêm các bộ lọc kỹ thuật số, chia sẻ chúng trên nhiều dịch vụ mạng xã hội khác như Facebook, Twitter, Tumblr và Flickr.

Lỗi nằm trong kết nối HTTP không được mã hóa

Nhà nghiên cứu Mazin Ahmed, người đã phát hiện ra lỗ hổng này cho biết, ứng dụng Android của Instagram giao tiếp với máy chủ của mình qua kết nối HTTP và không được mã hóa.

Mazin Ahmed phát hiện ra rằng ứng dụng quản lý thông tin liên lạc của Instagram cũng không được mã hóa  và tạo ra các lỗ hổng có thể cướp tài khoản của người dùng bằng một cuộc tấn công man-in-the-middle, kỹ thuật phổ biến được sử dụng bởi những kẻ tấn công để nghe lén và bắt các lưu lượng truy cập dữ liệu qua không dây. Tác giả đã sử dụng wireshark và tìm thấy các bằng chứng về việc dữ liệu khi chuyển trong mạng không hề được mã hóa bao gồm: hình ảnh, cookies, tên người dùng và ID của nạn nhân.

Sử dụng lại các HTTP cookies này trên máy tính hay trình duyệt khác cho phép kẻ tấn công chiếm quyền điều khiển các tài khoản Instagram của nạn nhân.

Vấn đề này có thể được các cơ quan tình báo lợi dụng và khai thác nhằm phục vụ cho mục đích giám sát và Mazin đã báo cáo các lỗ hổng cho Facebook vào ngày 24/7, nhưng đội ngũ an ninh của Facebook trả lời rằng: “Facebook chấp nhận rủi ro khi Instagram trao đổi dữ liệu qua HTTP”. Facebook sẽ triển khai và áp dụng HTTPS đầy đủ cho các ứng dụng Instagram di động trong thời gian tới.

Theo THN