Уязвимост в Instagram е давала възможност за хакване на произволен акаунт само за 10 минути
Експертът по осведомителна сигурност Лаксман Мутия (Laxman Muthiyah) заяви за рискова накърнимост в мобилното приложение Instagram. Използването на тази накърнимост дава опция да се разбере паролата за случаен Instagram акаунт и да се поеме контрола върху него.
Възстановяването на паролата е функционалност даваща опция на потребителя да възвърне достъпа си към даден уеб уебсайт, в случай че е не запомнил тази ключова дума. В Instagram е належащо да се удостовери тайния код от шест признака, изпратен като известие в телефона или като имейл. С тази код потребителите удостоверяват своята персона, а срокът на неговото деяние е 10 минути.
Чрез потребление метода на грубата мощ е допустимо да се проникне във всеки акаунт на Instagram, като поредно се подават всички вероятни комбинации, до момента в който не бъде въведена нужната. Естествено, това се знае от основателите на приложението и в Instagram е въведено ограничаване на скоростта на въвеждането на знаците за попречване на офанзивите от сходен тип. Мутия разкрил, че може да се оправи с това ограничаване, в случай че подава комбинациите от знаци от разнообразни IP адреси .
Реално, на евентуалния хакер са нужни 5000 IP адреса, с цел да се подбере нужната ключова дума. На пръв взор това е комплицирана задача, само че тя е напълно лесна за осъществяване, в случай че се употребяват облачните услуги на Amazon или Гугъл. Експертът съобщи, че цената на тази услуга за потреблението на електронен облак е $150.
Мутия показва и експлойт за тази накърнимост. За тази информация компанията заплати на специалиста $30 000.
Възстановяването на паролата е функционалност даваща опция на потребителя да възвърне достъпа си към даден уеб уебсайт, в случай че е не запомнил тази ключова дума. В Instagram е належащо да се удостовери тайния код от шест признака, изпратен като известие в телефона или като имейл. С тази код потребителите удостоверяват своята персона, а срокът на неговото деяние е 10 минути.
Чрез потребление метода на грубата мощ е допустимо да се проникне във всеки акаунт на Instagram, като поредно се подават всички вероятни комбинации, до момента в който не бъде въведена нужната. Естествено, това се знае от основателите на приложението и в Instagram е въведено ограничаване на скоростта на въвеждането на знаците за попречване на офанзивите от сходен тип. Мутия разкрил, че може да се оправи с това ограничаване, в случай че подава комбинациите от знаци от разнообразни IP адреси .
Реално, на евентуалния хакер са нужни 5000 IP адреса, с цел да се подбере нужната ключова дума. На пръв взор това е комплицирана задача, само че тя е напълно лесна за осъществяване, в случай че се употребяват облачните услуги на Amazon или Гугъл. Експертът съобщи, че цената на тази услуга за потреблението на електронен облак е $150.
Мутия показва и експлойт за тази накърнимост. За тази информация компанията заплати на специалиста $30 000.
Източник: kaldata.com
КОМЕНТАРИ