Исследователи обнаружили критическую уязвимость в iPhone-клиенте популярной соцсети Instagram. Оказывается, что часть информации, передаваемой приложением на сервер, не шифруется. Таким образом, завладеть чужим аккаунтом в Instagram сможет любой злоумышленник.
Опасную уязвимость обнаружил специалист по компьютерной безопасности Карлос Ревентлов, причем еще в середине ноября. Он сразу же известил об этом Instagram, однако на момент написания статьи компания все еще не исправила свое упущение, передает Computer World.
"Дыра" была обнаружена в последней версии Instagram (3.1.2.), выпущенной 23 октября этого года. Как оказалось, программисты включили шифрование при входе в профиль и при редактировании данных, зато вся остальная информация отправляется в виде обычного текста.
"Когда жертва запускает приложение Instagram, незашифрованные cookie-файлы посылаются на сервер. Если злоумышленник получает эти 'куки', он способен создавать HTTP-запросы, при помощи которых можно получить скрытую информацию и удалить фотографии", - рассказывает Ревентлов.
Как оказалось, позднее при помощи перехваченных cookie-файлов можно взять аккаунт под свой контроль полностью. К счастью, перехватить эти данные хакер может только находясь в той же локальной сети, что и жертва.
Комапания Instagram пока никак не комментирует эту новость. Собирается ли она в ближайшее время исправлять уязвимость, неизвестно. "Я обнаружил, что очень многие приложения для 'айфонов' уязвимы для хакерских атак. Однако от такой популярной программы, как Instagram я этого не ожидал", - заявил Ревентлов.