HAZ ESTO con iOS 13! Todos los SECRETOS!
Un investigador de seguridad publicó el viernes otro ataque al servicio de intercambio de fotos de Instagram de Facebook que podría permitir a un hacker tomar el control de la cuenta de una víctima.
El ataque fue desarrollado por Carlos Reventlov vulnerabilidad que encontró en Instagram a mediados de noviembre. Él notificó a Instagram del problema el 11 de noviembre, pero hasta el martes pasado, no había sido arreglado.
La vulnerabilidad está en la versión 3.1.2 de la aplicación de Instagram, lanzada el 23 de octubre, para el iPhone. Reventlov descubrió que, si bien algunas actividades delicadas, como el inicio de sesión y la edición de datos de perfil, se cifran cuando se envían a Instagram, se envían otros datos en texto sin formato. Probó los dos ataques en un iPhone 4 con iOS 6, donde descubrió el problema por primera vez.
[Más información: cómo eliminar el malware de su PC con Windows]"Cuando la víctima inicia la aplicación de Instagram, una simple "la cookie de texto se envía al servidor de Instagram", escribió Reventlov. "Una vez que el atacante obtiene la cookie, puede crear solicitudes HTTP especiales para obtener datos y eliminar fotos".
La cookie de texto plano se puede interceptar utilizando un ataque de hombre en el medio, siempre que el hacker sea en la misma LAN (red de área local) como la víctima. Una vez que se obtiene la cookie, el hacker puede eliminar o descargar fotos o acceder a las fotos de otra persona que sea amiga de la víctima.
La compañía de seguridad danesa Secunia verificó el ataque y emitió un aviso.
Reventlov continuó estudiando el potencial de la vulnerabilidad y el descubrimiento del problema de las cookies también podría permitir que el hacker controle la cuenta de la víctima. Nuevamente, el atacante debe estar en la misma LAN que la víctima.
El compromiso usa un método llamado suplantación ARP (Address Resolution Protocol), donde el tráfico web del dispositivo móvil de la víctima se canaliza a través de la computadora del atacante. Reventlov escribió que luego es posible interceptar la cookie de texto plano.
Al usar otra herramienta para modificar los encabezados de un navegador web durante la transmisión a los servidores de Instagram, es posible iniciar sesión como la víctima y cambiar la de la víctima. dirección de correo electrónico, lo que resulta en una cuenta comprometida. La solución para Instagram es fácil: el sitio debe usar siempre HTTPS para las solicitudes de API que tienen datos confidenciales, escribió Reventlov.
"He descubierto que muchas aplicaciones de iPhone son vulnerables a tales cosas, pero no muchas son de alto perfil aplicaciones como Instagram ", escribió Reventlov en un correo electrónico a IDG News Service.
Ni funcionarios de Instagram ni Facebook podrían ser contactados de inmediato el lunes. Reventlov escribió en sus avisos que recibió una respuesta automática cuando le contó a Instagram el problema.
Envíe sus sugerencias y comentarios a [email protected]. Sígueme en Twitter: @jeremy_kirk
Compartir archivos de Windows Zero-Day permite la adquisición de PC
Según un nuevo aviso de seguridad de Microsoft, un error SMB que puede ser También se puede usar para controlar una PC vulnerable.
Ataque de correo electrónico explota vulnerabilidad en el sitio de Yahoo para secuestrar cuentas
Los hackers detrás de una campaña de ataque de correo electrónico recientemente detectada explotan una vulnerabilidad en un sitio web de Yahoo secuestrar las cuentas de correo electrónico de los usuarios de Yahoo y usarlas para correo no deseado, según investigadores de seguridad del proveedor de antivirus Bitdefender.
Cuentas de correo electrónico que Trueswitch le permite moverse, hacia y desde!
Cómo pasar de un correo Yahoo gratuito a Hotmail, más cuentas de correo electrónico Trueswitch le permite migrar hacia y desde.