Vor kurzem wurde bei der Instagram mobile Version eine Sicherheitslücke gepatcht, welche wohl für einige Unruhen sorgen hätte können.
Vor kurzem wurde bei Instagram eine Sicherheitslücke gepatcht. Die Instagram Schwachstelle hätte für einige Unruhen sorgen können, wenn jemand Wind davon bekommen hätte.
Instagram Schwachstelle blieb geheim
Mit der kürzlich gepatchten Schwachstelle bei Instagram hätten Hacker die Möglichkeit gehabt, Accounts zu übernehmen. Dies wäre geschehen, ohne dass diese dafür eine Interaktion des Besitzers benötigt hätten. Mit dieser Attacke war es möglich das Passwort des attackierten Accounts zurückzusetzen und sich somit Zugang zu verschaffen. Gefunden und gemeldet hat diese Schwachstelle Laxman Muthiyah, ein indischer Bug-Bounty Hunter.
Bug in der „Passwort zurücksetzen“ Funktion der App
Die Schwachstelle ging von der Passwort zurücksetzen Funktion aus. Diese macht es möglich, dass Nutzer Zugang zu ihrem Account bekommen können, selbst wenn sie ihr Passwort vergessen haben. Um ihre Identität zu bestätigen, muss ein sechsstelliger Code bestätigt werden, welchen Instagram an deren E-Mail oder Telefonnummer sendet. Dieser läuft nach 10 Minuten ab. Die Chance den richtigen Code zu erraten, liegt bei 1 zu einer Million.
? This vulnerability could have allowed hackers to hack any #Instagram account within 10 minutes—no user interaction required.https://t.co/bJCbLeV8C8
Facebook rewarded @LaxmanMuthiyah with $30,000 bug bounty for helping it find and fix this critical loophole. pic.twitter.com/EK6nqqOkFS
— The Hacker News (@TheHackersNews) 15. Juli 2019
Wie die Schwachstelle ausgenutzt werden konnte
Die an Mail-Adressen und Telefonnummern gesendeten Codes kann man nicht einfach mit einer Brute Force Attacke erlangen. Instagram erlaubt hierfür nur eine strikt limitierte Anzahl an Anfragen.
Laxman Muthiyah fand heraus, dass man dies jedoch umgehen kann. Dafür muss man lediglich die Anfragen von verschiedenen IP-Adressen zur selben Zeit verschicken. Er war in der Lage, 200.000 Anfragen, also 20% der möglichen Kombinationen, an den Instagram-Server zu übermitteln. Der Bug Bounty Hunter hat einen Proof of Concept zu der Schwachstelle veröffentlicht:
Instagram: 30.000 US-Dollar Belohnung für Laxman
Für seine gute Arbeit und Ehrlichkeit hat die Betreibergesellschaft des sozialen Netzwerks den White hat Hacker belohnt. 30.000$ erhielt er von Instagram im Zuge von deren Bug Bounty Programm. Es soll bei Instagram auch noch weitere Schwachstellen geben, die man momentan behebt.
Bild von Pete Linforth auf Pixabay
Tarnkappe.info
