News & Public Relation > Security Update

Instagram 3.1.2 ใน iOS มีช่องโหว่สวมรอยบัญชีผู้ใช้

(1/1)

Nick:
เรื่อง: ระวังภัย Instagram 3.1.2 ใน iOS มีช่องโหว่สวมรอยบัญชีผู้ใช้

ประเภทภัยคุกคาม: Intrusion

ข้อมูลทั่วไป

นักวิจัยค้นพบช่องโหว่ในแอปพลิเคชัน Instagram เวอร์ชัน 3.1.2 ที่เผยแพร่เมื่อวันที่ 23 ตุลาคม 2555 โดยพบว่าแอปพลิเคชันดังกล่าวส่งข้อมูลการเข้าสู่ระบบหรือการแก้ไขข้อมูลของผู้ใช้ผ่านโพรโทคอล HTTPS แต่ข้อมูลในส่วนของการใช้งานอื่นๆ นั้นส่งผ่านโพรโทคอล HTTP โดยไม่มีการป้องกัน

ผลกระทบ

หากผู้ใช้งาน Instagram เชื่อมต่อเข้ากับเครือข่าย Wifi สาธารณะ อาจถูกผู้ไม่หวังดีใช้โปรแกรมประเภท Sniffer ในการดักรับข้อมูล หรืออาจถูกผู้ไม่หวังดีโจมตีด้วยวิธี Man-in-the-Middle เพื่อดักจับ Cookie และสวมรอยบัญชีผู้ใช้ รวมถึงอาจลบภาพของผู้ใช้งานได้ ดังรูปที่ 1


รูปที่ 1 ตัวอย่างการดักรับข้อมูล Cookie ของ Instagram (ที่มา reventlov.com)
ระบบที่ได้รับผลกระทบ

Instagram 3.1.2 ใน iOS

ข้อแนะนำในการป้องกันและแก้ไข

นักวิจัยได้แจ้งช่องโหว่นี้ให้ทาง Instagram ทราบแล้ว ในระหว่างที่ Instagram กำลังแก้ไขช่องโหว่ดังกล่าว ผู้ใช้งาน iOS ไม่ควรเปิดใช้งาน Instagram ในขณะที่เชื่อมต่อกับเครือข่าย Wifi สาธารณะเพราะอาจถูกสวมรอยบัญชีผู้ใช้ได้ ควรใช้การเชื่อมต่อผ่าน Cellular Network เพื่อความปลอดภัย

อ้างอิง

http://reventlov.com/advisories/instagram-plaintext-media-disclosure-issue
http://reventlov.com/advisories/instagram-session-riding-vulnerability

ที่มา: http://www.thaicert.or.th/alerts/admin/2012/al2012ad029.html

Navigation

[0] Message Index