Site Tools: Change WAG54G AnnexB | Εγκατάσταση DM500s posts | DM500s Images | Gemini 4.70 GSF posts | Unlock Thomson 585v6

 



Κενό ασφάλειας ανακαλύφθηκε στο Instagram
Jul 22, 2019

https://youtu.be/4O9FjTMlHUM

Ένας αναλυτής ασφάλειας βρήκε ένα Bug στην διαδικασία ανάκτησης λογαριασμού του Instagram που πιθανόν να έχει εκθέσει πολλούς λογαριασμούς σε κίνδυνο.

Ο αναλυτής Laxman Muthiyah ανακάλυψε το σφάλμα ενώ ερευνούσε τον τρόπο με τον οποίο η εφαρμογή σου επιτρέπει να ανακτήσεις πρόσβαση στον λογαριασμό σου αφού έχεις ξεχάσει τον κωδικό. Για την ταυτοποίηση, το Instagram στέλνει έναν τυχαίο εξαψήφιο αριθμό με SMS στο τηλέφωνο του χρήστη, ο οποίος δίνει πρόσβαση στον λογαριασμό.

Ο ερευνητής αναρωτήθηκε αν θα μπορούσε κανείς να χρησιμοποιήσει την τεχνική “brute force” για να προσπεράσει το σύστημα. Σε αυτή την μέθοδο, εισάγονται χιλιάδες τυχαίοι συνδυασμοί μέχρι να βρεθεί ο σωστός. Στην περίπτωση αυτή το κόλπο δούλεψε, αλλά υπάρχουν συγκεκριμένες συνθήκες που κάνουν την όλη διαδικάσια αρκετά περίπλοκη.

Πιο συγκεκικριμένα, το Instagram έχει περιορισμούς στην εισαγωγή αυτών των κωδικών. Έτσι, έχεις ένα όριο 250 προσπαθειών ανά διεύθυνση IP που πρέπει να γίνουν εντός του χρονικού περιθωρίου των δέκα λεπτών.

Για να μαντέψει κανείς έναν εξαψήφιο κωδικό θα πρέπει να δοκιμάσει περίπου ένα εκατομμύριο διαφορετικούς συνδυασμούς. Αυτό το νούμερο είναι αρκετό για να κρατήσει το σύστημα ασφαλές απο έναν απλό χρήστη. Ωστόσο ο Mutiyah βρήκε έναν τρόπο να αυτοματοποιήσει την διαδικασία. Γράφοντας ένα πρόγραμμα μπόρεσε να εισάγει τεράστιο όγκο τυχαίων συνδυασμών από μια λίστα διαφορετικών διευθύνσεων IP.



O Muthiyah ανέβασε ένα βίντεο με την επίθεση που τον παρουσιάζει να στέλνει 200.000 διαφορετικούς συνδυασμούς προσπαθώντας να σπάσει έναν δοκιμαστικό λογαριασμό. “Σε μια πραγματική επίθεση, ο επιτιθέμενος θα χρειαστεί περίπου 5.000 IPs για να σπάσει τον λογαριασμό. Ίσως να ακούγεται σαν ένας μεγάλος αριθμός αλλά στην πραγματικότητα δεν είναι δύσκολο.

Αν χρησιμοποιείς κάποια υπηρεσία cloud από την Amazon ή την Google τότε θα σου κοστίσει περίπου 150$ για να κάνεις μία πλήρης επίθεση του ενός εκατομμυρίου κωδικών.” Είπε σε σχετικό Blog.

Τα καλά νέα είναι ότι το Instagram διόρθωσε το πρόβλημα. Ο Mythiyah είπε στο PCMag ότι η εφαρμογή πλέον μπλοκάρει τον αριθμό των κωδικών που μπορεί να εισάγει ο χρήστης ανεξάρτητα από την διεύθυνση IP.

Σε email, το Instagram είπε στο PCMag: “Έχουμε επιδιορθώσει το πρόβλημα και δεν έχουμε βρει κανένα στοιχείο εκμετάλλευσης του. Ήμαστε ευγνώμων στον αναλυτή που βοήθησε στον εντοπισμό του προβλήματος.” Η Facebook, στην οποία ανήκει το Instagram, εχει ένα πρόγραμμα στο οποίο ανταμοίβει την εύρεση Bugs μέσω του Bugcrowd, το οποίο χορήγησε 30.000$ στον Muthiyah για την ανακάλυψη του.

[via]

Labels: , , , , ,

0 Comments:

Post a Comment

<< Home