The Third Industrial Revolution: A Radical New Sharing Economy
Istraživač sigurnosti objavio je u petak još jedan napad na Facebookovu uslugu dijeljenja fotografija na Instagramu koji bi mogao omogućiti hakeru da preuzme kontrolu nad računom žrtve.
Napad je razvio Carlos Reventlov oko ranjivost koju je pronašao u sklopu Instagrama sredinom studenog. Objavio je Instagram o problemu 11. studenog, ali od prošlog utorka nije bilo fiksno.
Ranjivost je u verziji 3.1.2 Instagramove aplikacije, objavljenoj 23. listopada, za iPhone. Reventlov je utvrdio da su neke osjetljive aktivnosti, poput prijave i uređivanja podataka profila, šifrirane kada su poslane na Instagram, a drugi podaci poslani u običan tekst.
[Više čitanje: Kako ukloniti zlonamjerni softver s računala sa sustavom Windows]"Kada žrtva pokrene aplikaciju Instagram, običan - kolačić teksta se šalje poslužitelju Instagram ", napisao je Reventlov. "Nakon što napadač dobije kolačić, on može izraditi posebne HTTP zahtjeve za dobivanje podataka i brisanje fotografija."
Kolačić običnog teksta može se presresti pomoću napada čovjeka u sredini sve dok je haker na istom LAN-u (lokalnoj mreži) kao i žrtva. Nakon što se dobije kolačić, haker može izbrisati ili preuzeti fotografije ili pristupiti fotografijama druge osobe koja je prijateljica žrtvi.
Danska sigurnosna tvrtka Secunia potvrdila je napad i izdala savjetovanje.
Reventlov je nastavio studirati potencijal ranjivosti i otkriće kolačića može također omogućiti hakeru da preuzme račun žrtve. Ponovno, napadač mora biti na istom LAN-u kao i žrtva.
Kompromis koristi metodu pod nazivom ARP (Address Resolution Protocol) spoofing, gdje se web promet žrtvinog mobilnog uređaja usmjerava kroz napadačevo računalo. Reventlov je napisao da je moguće presresti obični kolačić.
Pomoću drugog alata za izmjenu zaglavlja web preglednika tijekom prijenosa na Instagramove poslužitelje, moguće je da se potpišete kao žrtva i promijenite žrtvu e-adresu, što dovodi do ugroženog računa. Popravak za Instagram je jednostavan: web-lokacija bi uvijek trebala koristiti HTTPS za API zahtjeve koji imaju osjetljive podatke, piše Reventlov.
"Otkrila sam da su mnoge iPhone aplikacije ranjive na takve stvari, ali ne i previše su visokih profila aplikacije kao što je Instagram ", napisao je Reventlov u e-poruci za IDG News Service.
Niti Instagram ni službenici Facebooka ne bi se odmah mogli naći u ponedjeljak. Reventlov je u svojim upozorenjima napisao da je dobio automatizirani odgovor kada je ispričao Instagram o pitanju.
Pošaljite vijesti i komentare na [email protected]. Slijedite me na Twitteru: @jeremy_kirk
Dnevni raspored dijeljenja datoteka sustava Windows omogućava preuzimanje računala
Prema novom sigurnosnom savjetovanju tvrtke Microsoft, SMB bug koji može biti
Ranjivost na starijim verzijama preglednika Internet Explorera koju napadači aktivno koriste za preuzimanje računala.
Ranjivost utječe na IE verzije 6, 7 i 8. Najnovija inačica preglednika 9 i 10 ne utječe , Tvrtka povremeno izdaje brze popravke kao privremenu zaštitnu mjeru, dok se trajno sigurnosno ažuriranje razvija ako se ranjivost smatra osobito opasnim.
Napadi na e-poštu iskorištavaju ranjivost na web mjestu Yahoo za otimanje računa
Hakeri iza nedavno otkrivene kampanje e-mail napada iskorištavaju ranjivost na Yahoo web stranici oteti računima e-pošte korisnika Yahooa i koristi ih za neželjenu poštu, tvrde sigurnosni istraživači antivirusnog dobavljača Bitdefender.