Vulnerabilidade no Instagram para iPhone permite que hackers roubem contas

Por Redação | 03 de Dezembro de 2012 às 13h40
photo_camera The Industry

Um pesquisador de segurança chamado Carlos Reventlov publicou na última sexta-feira (30) que havia descoberto uma nova vulnerabilidade no Instagram para iPhone que permite que hackers assumam o controle das contas das vítimas.

Reventlov notificou o Instagram sobre a vulnerabilidade no dia 11 de novembro, mas até o final do mês a empresa não respondeu à sua notificação e nem resolveu o problema. A falha foi encontrada na versão 3.1.2 do Instagram, lançada no dia 23 de outubro, para iPhone.

Descobriu-se que algumas ações simples e sensíveis, como login e edição de dados do perfil, estavam sendo enviadas de forma criptografada, mas outras apareciam em texto simples.

"Quando a vítima inicia o aplicativo do Instagram, um cookie de texto simples é enviado para o servidor do Instagram", afirmou ao PCWorld Reventlov. "Uma vez que o responsável pelo ataque recebe o cookie, ele é capaz de criar solicitações de HTTP especiais para obter dados do usuário e até excluir fotos".

Se o hacker estiver na mesma LAN da vítima, ele também poderá assumir o controle sobre a conta do usuário no Instagram a partir da instalação do mesmo cookie de texto simples. O atacante pode utilizar um método chamado ARP (Address Resolution Protocol) que canaliza todo o tráfego de web do dispositivo móvel invadido para o computador do hacker.

Usando uma ferramenta que permite modificar os cabeçalhos de páginas na internet e de navegadores móveis durante a transmissão de dados para os servidores do Instagram, os cibercriminosos também podem modificar o endereço de e-mail do usuário e ter o domínio daquela conta.

Por enquanto, nenhum representante do Instagram se pronunciou sobre a vulnerabilidade apresentada na rede social de fotos.

Fique por dentro do mundo da tecnologia!

Inscreva-se em nossa newsletter e receba diariamente as notícias por e-mail.