News from Xiaomi Miui Hellas
Apps/Roms Χρήσιμες εφαρμογές

Instagram : Κενό ασφάλειας ανακαλύφθηκε στην διαδικασία ανάκτησης λογαριασμού.

Ένας αναλυτής ασφάλειας ανακάλυψε μία αδυναμία στην διαδικασία ανάκτησης λογαριασμού του Instagram που του έδωσε πρόσβαση σε έναν δοκιμαστικό λογαριασμό.


Ένας αναλυτής ασφάλειας βρήκε ένα Bug στην διαδικασία ανάκτησης λογαριασμού του Instagram που πιθανόν να έχει εκθέσει πολλούς λογαριασμούς σε κίνδυνο.

Ο αναλυτής Laxman Muthiyah ανακάλυψε το σφάλμα ενώ ερευνούσε τον τρόπο με τον οποίο η εφαρμογή σου επιτρέπει να ανακτήσεις πρόσβαση στον λογαριασμό σου αφού έχεις ξεχάσει τον κωδικό. Για την ταυτοποίηση, το Instagram στέλνει έναν τυχαίο εξαψήφιο αριθμό με SMS στο τηλέφωνο του χρήστη, ο οποίος δίνει πρόσβαση στον λογαριασμό.

Ο ερευνητής αναρωτήθηκε αν θα μπορούσε κανείς να χρησιμοποιήσει την τεχνική “brute force” για να προσπεράσει το σύστημα. Σε αυτή την μέθοδο, εισάγονται χιλιάδες τυχαίοι συνδυασμοί μέχρι να βρεθεί ο σωστός. Στην περίπτωση αυτή το κόλπο δούλεψε, αλλά υπάρχουν συγκεκριμένες συνθήκες που κάνουν την όλη διαδικάσια αρκετά περίπλοκη.

Πιο συγκεκικριμένα, το Instagram έχει περιορισμούς στην εισαγωγή αυτών των κωδικών. Έτσι, έχεις ένα όριο 250 προσπαθειών ανά διεύθυνση IP που πρέπει να γίνουν εντός του χρονικού περιθωρίου των δέκα λεπτών.

Για να μαντέψει κανείς έναν εξαψήφιο κωδικό θα πρέπει να δοκιμάσει περίπου ένα εκατομμύριο διαφορετικούς συνδυασμούς. Αυτό το νούμερο είναι αρκετό για να κρατήσει το σύστημα ασφαλές απο έναν απλό χρήστη. Ωστόσο ο Mutiyah βρήκε έναν τρόπο να αυτοματοποιήσει την διαδικασία. Γράφοντας ένα πρόγραμμα μπόρεσε να εισάγει τεράστιο όγκο τυχαίων συνδυασμών από μια λίστα διαφορετικών διευθύνσεων IP.

O Muthiyah ανέβασε ένα βίντεο με την επίθεση που τον παρουσιάζει να στέλνει 200.000 διαφορετικούς συνδυασμούς προσπαθώντας να σπάσει έναν δοκιμαστικό λογαριασμό. “Σε μια πραγματική επίθεση, ο επιτιθέμενος θα χρειαστεί περίπου 5.000 IPs για να σπάσει τον λογαριασμό. Ίσως να ακούγεται σαν ένας μεγάλος αριθμός αλλά στην πραγματικότητα δεν είναι δύσκολο. Αν χρησιμοποιείς κάποια υπηρεσία cloud από την Amazon ή την Google τότε θα σου κοστίσει περίπου 150$ για να κάνεις μία πλήρης επίθεση του ενός εκατομμυρίου κωδικών.” Είπε σε σχετικό Blog.

Τα καλά νέα είναι ότι το Instagram διόρθωσε το πρόβλημα. Ο Mythiyah είπε στο PCMag ότι η εφαρμογή πλέον μπλοκάρει τον αριθμό των κωδικών που μπορεί να εισάγει ο χρήστης ανεξάρτητα από την διεύθυνση IP.

Σε email, το Instagram είπε στο PCMag: “Έχουμε επιδιορθώσει το πρόβλημα και δεν έχουμε βρει κανένα στοιχείο εκμετάλλευσης του. Ήμαστε ευγνώμων στον αναλυτή που βοήθησε στον εντοπισμό του προβλήματος.” Η Facebook, στην οποία ανήκει το Instagram, εχει ένα πρόγραμμα στο οποίο ανταμοίβει την εύρεση Bugs μέσω του Bugcrowd, το οποίο χορήγησε 30.000$ στον Muthiyah για την ανακάλυψη του.

Πηγή

Μην ξεχνάτε την συμμετοχή σας (εγγραφή) στο φόρουμ μας, η οποία και μπορεί να γίνει πολύ εύκολα από το παρακάτω πλήκτρο…

(Αν έχετε ήδη λογαριασμό στο φόρουμ μας δεν χρειάζεται να ακολουθήσετε τον σύνδεσμο εγγραφής)

Εγγραφή στην κοινότητά μας

Ακολουθήστε μας και στο Telegram !

Σχετικά άρθρα

Αφήστε ένα σχόλιο

* Κάνοντας χρήση αυτής της φόρμας συμφωνείτε για την αποθήκευση και διανομή των μηνυμάτων σας στην σελίδα μας.

This site uses Akismet to reduce spam. Learn how your comment data is processed.

Αφήστε ένα Review

    Xiaomi Miui Hellas
    Η επίσημη κοινότητα της Xiaomi και της MIUI στην Ελλάδα.
    Διαβάστε επίσης
    Σήμερα 22/07/2019 το γνωστό Banggood μας παραχώρησε νέα λίστα με 30 κουπόνια και προσφορές…
    Τι γίνεται με τα Pocophone και το brand της Xiaomi που παίζει τον…
    Translate »