L’application pour iPhone Instagram vulnérable à une attaque par ARP Spoofing

4

Instagram, l’application populaire de Facebook permettant le partage de photo en ligne via un iPhone serait vulnérable et permettrait de prendre le contrôle de compte utilisateurs.

C’est chercheur en sécurité, Carlos Reventlov, qui a le premier relevé cette faille dans les flux réseaux du logiciel Instagram, explications.

L’application Instagram communique avec l’API Instagram via les protocoles HTTP et HTTPS. Bien que les actions importantes telles que l’identification ou la modification transite bien via un canal sécurisé en HTTPS, certains autres flux eux ne sont pas chiffrés et peuvent alors être interceptés par une personne malveillante.

Un attaquant sur le même LAN (réseau local) que la victime peut alors, via une attaque de type « ARP Spoofing », intercepter le flux du port 80 venant de l’iPhone. Lorsque la victime démarre l’application Instagram, un cookie d’identification est envoyé aux serveurs Instagram au travers d’un flux HTTP non sécurisé. L’attaquant peut alors reforger une requête avec le dit cookie afin de récupérer des informations ou supprimer les photos car il dispose alors des droits de l’utilisateur de la victime.

Le site Secunia confirme la faille et publie un bulletin d’alerte sécurité : http://secunia.com/advisories/51270/.

4 Commentaires

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici

Notifiez-moi des commentaires à venir via e-mail. Vous pouvez aussi vous abonner sans commenter.

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.