Un ricercatore di sicurezza ha scoperto una vulnerabilità nel noto servizio di foto sharing che potrebbe essere sfruttata per rubare l’account degli utenti. Carlos Reventlov ha pubblicato il codice dell’exploit con il quale è possibile intercettare le comunicazioni tra l’applicazione per iOS e i server di Instagram. La tecnica utilizzata prende il nome di ARP spoofing e permette di compiere diverse attività sul profilo della vittima, tra cui il download o la cancellazione di tutte le foto pubblicate. La falla di sicurezza, individuata il 10 novembre, non è stata ancora risolta.
La vulnerabilità è stata scoperta nella versione 3.1.2 dell’applicazione per iOS rilasciata il 23 ottobre scorso. Dopo aver eseguito diversi test con un iPhone 4 basato su iOS 6, Reventlov ha trovato che la trasmissione di alcuni dati viene effettuata in chiaro, mentre altre in forma criptata. Attività molto sensibili, come il login e la modifica del profilo, avvengono su un canale sicuro mediante il protocollo HTTPS. Altre richieste invece vengono inviate senza nessun tipo di crittografia. Il metodo di autenticazione per alcune chiamate HTTP è un semplice cookie (un file di testo) inviato ai server Instagram quando l’utente avvia l’applicazione.
Se un malintenzionato riesce ad intercettare questo cookie, usando un attacco man-in-the-middle, può impossessarsi dell’account della vittima, modificare il profilo, scaricare o eliminare le foto, e vedere anche le foto degli amici. Affinché l’attacco possa avere successo è comunque necessario che l’utente legittimo e l’hacker si trovino sulla stessa LAN, un’eventualità non molto remota vista la diffusione degli hotspot WiFi. La tecnica utilizzata è denominata ARP spoofing con la quale vengono inviati falsi messaggi sulla LAN per intercettare i dati in uscita dal dispositivo iOS e incanalarli verso il computer dell’attaccante.
La soluzione suggerita da Reventlov è semplice: utilizzare sempre una connessione HTTPS per tutte le richieste tramite le API Instagram. A tutt’oggi però, dopo quasi un mese dalla scoperta, la vulnerabilità non è stata ancora risolta.