Instagramのセキュリティの抜け穴により、攻撃者は写真を削除したりアカウントを引き継ぐことができます

Instagramは、iOSとAndroidの両方のプラットフォームで最も人気があり、最も使用されている写真共有アプリになっているかもしれませんが、他のアプリと同じように、完璧ではありません。 事実、最近、新しい抜け穴が発見されました。 専門家によると、新しいInstagramのセキュリティ上の欠陥により、攻撃者は写真を削除したりアカウントを引き継ぐことさえ可能になる。 抜け穴は、iOSデバイス上で実行されているInstagramバージョン3.1.2で発見されました。

Instagram APIは、HTTP接続とHTTPS接続の両方を使用してリクエストとデータを送信します。 プロファイル編集データやログイン認証情報などの機密情報は、セキュリティで保護されたチャネルであるため、多くの場合HTTPS経由で送信されます。 しかし、最近reventlov.comの人々によって発見されたのは、一部のデータは実際には別のチャネルを使用して送信され、抜け穴を知っている可能性がある一部の攻撃者による悪用に対して脆弱であることです。

データがHTTPチャネルを介して送信される場合、必要な唯一の認証形式は、ユーザーがInstagramアプリを起動するたびに暗号化されずに送信されることが多い標準のCookieです。 iPhoneやiPadと同じネットワーク上にいる可能性がある攻撃者は、単純なarpspoofing攻撃によってデータを傍受し、自分の好みに合わせて情報を悪用する可能性があります。 それが起こり、攻撃者が傍受された情報を使用して認証できる場合、それらはすでにアカウントへの最終的なアクセス権を持ち、いつでもログイン資格情報を変更したり写真を削除したりすることができます。

この欠陥を発見した人々は11月10日にそれを公表し、その1日後にInstagramに連絡しましたが、得られたのは自動応答だけでした。 今までのところ、この問題はまだ進行中である可能性があるため、Instagramをより頻繁に使用しているiOSデバイスの所有者は、ほとんどの場合HTTPSチャネルを使用するか、またはオープンWiFiアクセスポイントだけを使用しないでください。

この問題はInstagramだけに関係しているかもしれませんが、もっと頻繁に、攻撃者はFacebook、TwitterそしてEメールさえも含む他のアカウントにアクセスすることができるために何を見つけるべきか正確に知っています。 特に自分のデバイスに機密データを保存している可能性がある人は、予防策を講じる必要があります。

［源：Reventlov］