Clear
Lead Graphic Papers

ระวังภัย Instagram 3.1.2 ใน iOS มีช่องโหว่สวมรอยบัญชีผู้ใช้

วันที่ประกาศ: 4 ธันวาคม 2555
ปรับปรุงล่าสุด: 4 ธันวาคม 2555
เรื่อง: ระวังภัย Instagram 3.1.2 ใน iOS มีช่องโหว่สวมรอยบัญชีผู้ใช้

ประเภทภัยคุกคาม: Intrusion

Share on Facebook Share on Twitter Share on Facebook

ข้อมูลทั่วไป

นักวิจัยค้นพบช่องโหว่ในแอปพลิเคชัน Instagram เวอร์ชัน 3.1.2 ที่เผยแพร่เมื่อวันที่ 23 ตุลาคม 2555 โดยพบว่าแอปพลิเคชันดังกล่าวส่งข้อมูลการเข้าสู่ระบบหรือการแก้ไขข้อมูลของผู้ใช้ผ่านโพรโทคอล HTTPS แต่ข้อมูลในส่วนของการใช้งานอื่นๆ นั้นส่งผ่านโพรโทคอล HTTP โดยไม่มีการป้องกัน [1]

ผลกระทบ

หากผู้ใช้งาน Instagram เชื่อมต่อเข้ากับเครือข่าย Wifi สาธารณะ อาจถูกผู้ไม่หวังดีใช้โปรแกรมประเภท Sniffer ในการดักรับข้อมูล หรืออาจถูกผู้ไม่หวังดีโจมตีด้วยวิธี Man-in-the-Middle เพื่อดักจับ Cookie และสวมรอยบัญชีผู้ใช้ รวมถึงอาจลบภาพของผู้ใช้งานได้ [2] ดังรูปที่ 1

Al2012co0028-1.png
รูปที่ 1 ตัวอย่างการดักรับข้อมูล Cookie ของ Instagram (ที่มา reventlov.com)

ระบบที่ได้รับผลกระทบ

Instagram 3.1.2 ใน iOS

ข้อแนะนำในการป้องกันและแก้ไข

นักวิจัยได้แจ้งช่องโหว่นี้ให้ทาง Instagram ทราบแล้ว ในระหว่างที่ Instagram กำลังแก้ไขช่องโหว่ดังกล่าว ผู้ใช้งาน iOS ไม่ควรเปิดใช้งาน Instagram ในขณะที่เชื่อมต่อกับเครือข่าย Wifi สาธารณะเพราะอาจถูกสวมรอยบัญชีผู้ใช้ได้ ควรใช้การเชื่อมต่อผ่าน Cellular Network เพื่อความปลอดภัย

อ้างอิง

  1. http://reventlov.com/advisories/instagram-plaintext-media-disclosure-issue
  2. http://reventlov.com/advisories/instagram-session-riding-vulnerability

Clear