WhiteHat News #ID:1368
WhiteHat Support
-
04/06/2014
-
0
-
110 bài viết
Instagram trên Android dính lỗ hổng nghiêm trọng
Ứng dụng Instagram trên hệ điều hành Android mới đây bị công bố là có lỗ hổng cho phép tin tặc chiếm tài khoản của người dùng, truy cập ảnh cá nhân, xóa ảnh, chỉnh sửa bình luận và đăng ảnh mới.
Instagram là ứng dụng chia sẻ ảnh, video, mạng xã hội trên nền di động khá nổi tiếng. Ứng dụng cho phép người dùng chụp, chỉnh sửa nhanh bằng các bộ lọc số và chia sẻ ảnh trên các mạng xã hội như Facebook, Twitter, Tumble hay Flickr. Tháng 4-2012, Facebook mua lại Instagram với giá gần 1 tỉ USD.
Nhà nghiên cứu Mazin Ahmed, người phát hiện ra lỗ hổng, khẳng định ứng dụng Instagram trên Android sử dụng kết nối HTTP không mã hóa để giao tiếp với máy chủ. Điều này có thể giúp tin tặc dễ dàng can thiệp vào dữ liệu trên đường truyền.
Ngoài ra, người dùng Instagram còn có nguy cơ bị tin tặc chiếm phiên đăng nhập (session hijacking) bằng phương pháp tấn công man-in-the-middle. Tin tặc lấy được cookie phiên đăng nhập bằng HTTP (không mã hóa) của người dùng, sau đó sử dụng cookie này trên một hệ thống/trình duyệt khác sẽ chiếm được phiên đăng nhập và kiểm soát tài khoản của người dùng. Một khi kiểm soát được, tin tặc có thể truy cập toàn bộ ảnh, thực hiện mọi thao tác như đăng, xóa, chỉnh sửa ảnh hay bình luận như người dùng thật.
Mazin Ahmed cho biết những lỗ hổng này của Instagram hoàn toàn có nguy cơ bị cơ quan tình báo khai thác để theo dõi người dùng. Tuy nhiên khi ông báo lỗi này tới Facebook vào ngày 24-7 thì nhận được trả lời: “Facebook chấp nhận rủi ro đến từ việc một số phiên bản Instagram trên các hệ điều hành giao tiếp qua HTTP chứ không phải HTTPS”. Facebook từng tuyên bố sẽ áp dụng HTTPS cho tất cả các ứng dụng Instagram trên di động trong tương lai gần, nhưng chưa rõ mất bao lâu để điều này trở thành hiện thực.
Nguồn: The Hacker News
Instagram là ứng dụng chia sẻ ảnh, video, mạng xã hội trên nền di động khá nổi tiếng. Ứng dụng cho phép người dùng chụp, chỉnh sửa nhanh bằng các bộ lọc số và chia sẻ ảnh trên các mạng xã hội như Facebook, Twitter, Tumble hay Flickr. Tháng 4-2012, Facebook mua lại Instagram với giá gần 1 tỉ USD.
Nhà nghiên cứu Mazin Ahmed, người phát hiện ra lỗ hổng, khẳng định ứng dụng Instagram trên Android sử dụng kết nối HTTP không mã hóa để giao tiếp với máy chủ. Điều này có thể giúp tin tặc dễ dàng can thiệp vào dữ liệu trên đường truyền.
Ngoài ra, người dùng Instagram còn có nguy cơ bị tin tặc chiếm phiên đăng nhập (session hijacking) bằng phương pháp tấn công man-in-the-middle. Tin tặc lấy được cookie phiên đăng nhập bằng HTTP (không mã hóa) của người dùng, sau đó sử dụng cookie này trên một hệ thống/trình duyệt khác sẽ chiếm được phiên đăng nhập và kiểm soát tài khoản của người dùng. Một khi kiểm soát được, tin tặc có thể truy cập toàn bộ ảnh, thực hiện mọi thao tác như đăng, xóa, chỉnh sửa ảnh hay bình luận như người dùng thật.
Mazin Ahmed cho biết những lỗ hổng này của Instagram hoàn toàn có nguy cơ bị cơ quan tình báo khai thác để theo dõi người dùng. Tuy nhiên khi ông báo lỗi này tới Facebook vào ngày 24-7 thì nhận được trả lời: “Facebook chấp nhận rủi ro đến từ việc một số phiên bản Instagram trên các hệ điều hành giao tiếp qua HTTP chứ không phải HTTPS”. Facebook từng tuyên bố sẽ áp dụng HTTPS cho tất cả các ứng dụng Instagram trên di động trong tương lai gần, nhưng chưa rõ mất bao lâu để điều này trở thành hiện thực.
Nguồn: The Hacker News
Chỉnh sửa lần cuối bởi người điều hành: