Um problema de configuração no aplicativo do Instagram para dispositivos iOS pode permitir a um hacker roubar a conta do usuário, se ambos estiverem na mesma rede WiFi pública.

A falha foi descoberta, anos atrás, por Stevie Graham, que se descreve como um “hacker at large”, com base em Londres.

 

Para chamar mais atenção para a questão, Graham desenvolveu uma ferramenta que pode comprometer rapidamente muitas contas do Instagram, batizada por ele de “Instasheep” – uma brincadeira com Firesheep, uma extensão do Firefox que pode comprometer as contas online em determinadas circunstâncias.

“Acho que esse ataque é extremamente grave, pois permite o roubo de sessão, através de um processo facilmente automatizado,” escreveu Graham. “Eu poderia ir para uma loja da Apple amanhã e colher milhares de contas em um dia, e então usá-las para enviar spam”, afirma.

A descoberta de Graham é um problema de configuração há muito conhecido, que levou muitas empresas da Web a criptografarem completamente todas as conexões feitas com seus servidores. A transição para a criptografia completa, através do uso do protocolo HTTPS. A ideia principal do HTTPS é criar um canal seguro sobre uma rede insegura.

A API do Instagram faz pedidos não criptografadas para algumas partes da sua rede, segundo Graham. Isso representa uma oportunidade para um hacker que esteja na mesma rede WiFi desprotegida, ou protegida através do protocolo WEP, que pode ser facilmente quebrado.

Algumas dessas chamadas da API do Instagram transmitem um cookie de sessão não criptografado, ou um arquivo de dados que permite que um usuário do Instagram se identifique. Ao coletar o tráfego de rede, através de um ataque do tipo man-in-the-middle, o cookie de sessão pode ser roubado e usado por um atacante para assumir o controle da conta da vítima.

Embora funcionários do Facebook não tenham feito nenhum comentário a respeito, o co-fundador do Instagram, Mike Krieger, escreveu no YCombinator’s Hacker News feed do serviço que pretende “aumentar progressivamente” o uso de criptografia completa.

De acordo com Krieger, o recurso “Instagram Direct”, que permite que as fotos sejam compartilhadas apenas com pequenos grupos de pessoas, é totalmente criptografado. Como o uso da criptografia em todas as comunicações do Instagran implicará o uso de mais parâmetros sensíveis à latência, a equipe do serviço prefere primeiro se certificar de que a transição para o HTTPS não afetará o desempenho.

“Este é um projeto que esperamos concluir em breve, e vamos compartilhar nossas experiências em nosso blog para que outras empresas possam aprender com elas”, escreveu Krieger.

O Google oferece criptografia completa como uma opção para o Gmail desde 2008. Em 2010 se tornou padrão do webmail. O Facebook adotou om protocolo HTTPS por padrão em janeiro de 2011.

fonte: http://idgnow.com.br/