Обнаружена критическая уязвимость в приложении Instagram для Android

Исследователь безопасности Мазин Ахмед (Mazin Ahmed)  обнаружил  критическую уязвимость в приложении Instagram для Android, позволяющую атакующему взломать учетную запись пользователя, получить контроль над управлением и публикацией фотографий, а также редактировать и удалять комментарии.

Приложение соединяется с сервером через незашифрованный протокол HTTP, который может быть изменен злоумышленником с целью перехвата. Ахмед использовал программу на своем смартфоне, осуществляя при этом мониторинг трафика с помощью анализатора WireShark. Эксперт обнаружил, что соединение уязвимо к перехвату пользовательской сессии, осуществляемой с помощью атаки «человек посередине».

Повторное использование перехваченных HTTP cookie сессии на другой системе или браузере позволяет злоумышленнику взломать сессию в учетной записи жертвы в Instagram.

«Как только я вошел в учетную запись в Instagram на своем телефоне, WireShark перехватил незашифрованные данные, проходящие через HTTP. Эти данные включали в себя фотографии, просматриваемые жертвой, cookie сессии, имя пользователя и ID», - сообщил Ахмед.

Эксперт уведомил Facebook, владеющую Instagram, о бреши. Представители компании сообщили о переводе сервиса на протокол HTTPS, однако пока неизвестно, как скоро это произойдет.