Instagram 보안 허점은 공격자가 사진을 삭제하고 계정을 인계받는 것을 허용합니다.

Instagram은 iOS 및 Android 플랫폼 모두에서 가장 많이 사용되는 사진 공유 앱이되었지만 다른 앱과 마찬가지로 완벽하지는 않습니다. 사실 최근에 새로운 허점이 발견되었습니다. 전문가에 따르면 새로운 Instagram 보안 결함으로 인해 공격자가 사진을 삭제하거나 계정을 인수 할 수 있다고합니다. 허점은 iOS 장치에서 실행되는 Instagram 버전 3.1.2에서 발견되었습니다.

Instagram API는 HTTP와 HTTPS 연결을 모두 사용하여 요청과 데이터를 보냅니다. 프로필 편집 데이터 및 로그인 자격 증명과 같은 중요한 정보는 보안 채널이므로 HTTPS를 통해 종종 전송됩니다. 그러나 최근에 reventlov.com의 사람들은 일부 데이터가 실제로 다른 채널을 사용하여 전송되어 허점을 알고있는 일부 공격자가 악의적 인 착취를 할 수 있음을 발견했습니다.

데이터가 HTTP 채널을 통해 전송되는 경우 필요한 유일한 인증 양식은 사용자가 Instagram 앱을 시작할 때마다 암호화없이 전송되는 표준 쿠키입니다. iPhone 또는 iPad와 동일한 네트워크에있는 공격자는 간단한 arpspoofing 공격을 통해 데이터를 가로 챌 수 있으며 원하는대로 정보를 이용할 수 있습니다. 이런 일이 발생하고 공격자가 도청 된 정보를 사용하여 인증 할 수있는 경우 이미 계정에 대한 액세스 권한이 있으며 로그인 자격 증명을 언제든지 변경하거나 사진을 삭제할 수 있습니다.

이 결함을 발견 한 사람들은 11 월 10 일에 공개했고 그들은 하루 후에 Instagram에 연락을했지만, 모두 자동 응답이었습니다. 지금까지이 문제는 계속 진행 중이므로 Instagram을 자주 사용하는 iOS 기기 소유자는 대부분 HTTPS 채널을 사용해야하며 열려있는 WiFi 액세스 포인트를 사용하지 않아야합니다.

이 문제는 Instagram에만 관련 될 수 있지만 더 자주 공격자는 Facebook, Twitter 및 전자 메일을 비롯한 다른 계정에 액세스 할 수있는 방법을 정확히 알고 있습니다. 특히 장치에 민감한 데이터를 저장하는 사람들은 사전 예방 조치를 취해야합니다.

[출처 : Reventlov]