Instasheep: Lập trình viên xây dựng công cụ để chiếm lấy các tài khoản Instagram qua Wifi

Một lập trình viên ở London tên Stevie Graham gần đây trình bày một bài báo cáo lỗi đến Facebook phát thảo những gì anh ấy thấy như là một lỗ hổng bảo mật trong Instagram, cho phép một số người chiếm quyền giao dịch của người dùng dựa trên các dữ liệu được ghi lại thông qua mạng Wifi công khai. Anh cho biết anh không nhận bất kỳ khoản tiền thưởng nào từ Facebook- công ty sở hữu Instagram; sau đó anh thiết lập việc xây dựng một công cụ chứng minh để khai thác nó. “Từ chối khoản tiền thưởng tìm ra lỗi. Bước tiếp theo anh viết công cụ tự động và kích hoạt chiếm hàng loạt các tài khoản”, anh viết. “Lỗ hổng khá nghiêm trọng, Facebook làm ơn sửa chúng”.

Theo báo cáo tổng quát gần đây về các lỗ hổng bảo mật của ứng dụng di động, Instagram sử dụng giao thức HTTP để giao tiếp, thông qua tên tài khoản của người dùng và lượng tài khoản đang xác định để rõ ràng. Theo Graham chứng minh, có các mẫu dữ liệu được gởi đi giữa client iOS của Instagram và  dịch vụ được thông qua rõ ràng. Thậm chí các chứng nhận ủy quyền của người dùng được đăng kí sử dụng tính năng kết nối an toàn, các thông tin được thông qua lại bởi giao diện ứng dụng của Instagram đến các khách hàng điện thoại cung cấp một cookie có thể được dùng trong cùng một mạng mà không xác nhận lại để kết nối thông qua Web đến Instagram như người dùng đó và khi đó có thể truy cập đến tin nhắn cá nhân và các dữ liệu khác. “Một khi bạn có cookie, bất kỳ điểm cuối nào có thể được xác nhận với cookie, giao thức HTTPS hay HTTP”, anh viết. Graham cho biết anh đã biết về lỗ hổng này trong nhiều năm nay.

Graham đã đăng các bước hướng dẫn sau để tái hiện nghiên cứu của anh:

– Vào một điểm truy cập Wi-fi mở rộng hay mã hóa WEP

– Chuyển giao diện mạng sang chế độ lọc ngẫu nhiên trên trang i.instagram.com bằng cách: sudo tcpdump -In -i en0 -s 2048 -A dst i.instagram.com

– Chờ người dùng sử dụng ứng dụng iOS trên Instagram trên cùng một mạng.

– Giải nén các tiêu đề yêu cầu cookie từ kết quả đầu ra.

– Sử dụng tham số cookie  “sessionid” để thực hiện bất kì các cuộc gọi api nào mà các điểm cuối giao thức https của người dùng như các tin nhắn trực tiếp: 

curl -H ‘User-Agent: Instagram 6.0.4 (iPhone6,2; iPhone OS 7_1_1; en_GB; en-GB) AppleWebKit/420+’ -H ‘Cookie: sessionid=REDACTED’  https://i.instagram.com/api/v1/direct_share/inbox/`

Đây là kết quả trả về hộp thư đến trực tiếp của người dùng giống như JSON (JavaScript Object Notation).

Sự khai thác nhỏ này tương tự như sự khai thác “Firesheep” hướng Facebook sử dụng giao thức HTTPS cho giao dịch trở lại với người dùng trên trang của nó vào năm 2010. Trong một thảo luận trên Twitter, Graham đã đặt tên nó là “Instasheep”.

Ars cố gắng truy cập tới Facebook để bình luận về sự khai thác này nhưng không nhận được phản hồi nào. Chúng tôi sẽ cập nhật câu chuyện này chi tiết hơn nếu có thêm thông tin.

Nguồn bài viết : arstechnica.com