main() {
exec("header") {
 
SecurityBlog
 
 
 }
exec("menu") { InformacjeAlertyBezpieczeństwoAudytOprogramowanieSłownikO nasKontakt }
exec("ad") { 
Zgłoś informacje/incydent
 }
exec("info") { 
5
gru
 

Aplikacja na iPhone - Instagram podatna na ataki

 

Instagram – popularna aplikacja na iPhone`a umożliwiająca dzielenie się zdjęciami, posiada lukę, dzięki której konta użytkowników mogą wpaść w ręce hakerów. Atak zaprezentował Carlos Reventlov, specjalista ds. bezpieczeństwa, udowadniając, iż atakujący jest w stanie przejąć konto i sprawować nad nim kontrolę.

„Aplikacja Instagram komunikuje się z API poprzez połączenia HTTP i HTTPs. Najbardziej wrażliwe czynności takie jak logowanie, edytowanie profilu, są przesyłane przez bezpieczny kanał. Jednakże niektóre inne zapytania wysyłane są przez zwykłe HTTP bez sygnatury, a takie żądanie może zostać wykorzystane przez atakującego, podłączonego do tej samej sieci LAN co iPhone ofiary”.



Wersja aplikacji wrażliwej na ataki typu WavesDropping i Man in the Middle to 3.1.2


Atakujący, który znajduje się w tej samej sieci lokalnej, może wykonać atak ARP Spoofing. Do oszukania iPhone`a wykorzystuje ruch sieciowy na porcie 80. Kiedy ofiara uruchomi program na telefonie, ciasteczko w postaci czystego tekstu, jest wysyłane do serwera Instagram, gdy haker je przejmie, jest w stanie utworzyć żądanie HTTP do zebrania poufnych danych, usuwania zdjęć itd.

„Wiele aplikacji na iPhone jest podatnych na ataki tego typu, ale nie każda z nich jest tak popularna jak Instagram”.


Przykład żądania usuwania zdjęć zaprezentowano poniżej.



Używając innych żądań API, atakujący może znaleźć ID użytkownika i wykonać operacje usuwania zdjęć z jego konta.

Jak się chronić?
1.Korzystając z połączeń HTTPS dla wszystkich żądań, które mogą zawierać poufne dane, takie jak adresy URL zdjęć.
2.Za pomocą podpisu dla nieszyfrowanych żądań.

 

Udostępnij informacje znajomym: Udostępnij na FaceBook

 
  Ustawił: Saper @ 18:41:10 05.12.2012
  Podobne w słowie: Apple instagram atak iPhone Komentarzy: 0   


Dodaj komentarz
 
   
Imię(+/-)Nazwisko lub ksywka: 
   
Adres e-mail: 
   
Strona WWW: 
   
Treść Twojego komentarza: 
   
Proszę policzyć: 
3 * 6 = 
 
 
  

 


 
 
Dostępność serwisu:
SecurityBlog.pl FanPageSecurityBlog.pl MobileSecurityBlog.pl TextModeSecurityBlog.pl RSS

 

Najbardziej wybuchowe

 

Bieżące alerty bezpieczeństwa

 

Przetwarzanie w chmurce

 

Wyszukiwarka kodów źródłowych
4Coder4Coder.org
Source Code Search Engine
Name:
Code:

Demotywator na dziś


Tapetka na dziś
tapetki pagani zonda
 }
     
exec("partners") {
 
 
Partnerzy
hakerzy   czytelnia
 }
debug("securityblog")
{
"cpu: 1%",
"mem: 4%",
"exectime: 0,0110s"
} exec("footer") {
 


SITE: REGULAMIN || POLITYKA PRYWATNOŚCI || REKLAMA || MAPA STRONY || BAJKI DLA DZIECI || VAMPIRE DIARIES
SYSTEM TOOLS: 0xFFFFFFFF || SECURITY_DUMP || SERVER_INFO || SYSTEM_NICE


Wszystkie prawa zastrzeżone. ©2008-2013 SecurityBlog.pl

 Security Blog
} } }