Instagram, l’application populaire de Facebook permettant le partage de photo en ligne via un iPhone serait vulnérable et permettrait de prendre le contrôle de compte utilisateurs.
C’est chercheur en sécurité, Carlos Reventlov, qui a le premier relevé cette faille dans les flux réseaux du logiciel Instagram, explications.
L’application Instagram communique avec l’API Instagram via les protocoles HTTP et HTTPS. Bien que les actions importantes telles que l’identification ou la modification transite bien via un canal sécurisé en HTTPS, certains autres flux eux ne sont pas chiffrés et peuvent alors être interceptés par une personne malveillante.
Un attaquant sur le même LAN (réseau local) que la victime peut alors, via une attaque de type “ARP Spoofing”, intercepter le flux du port 80 venant de l’iPhone. Lorsque la victime démarre l’application Instagram, un cookie d’identification est envoyé aux serveurs Instagram au travers d’un flux HTTP non sécurisé. L’attaquant peut alors reforger une requête avec le dit cookie afin de récupérer des informations ou supprimer les photos car il dispose alors des droits de l’utilisateur de la victime.
Le site Secunia confirme la faille et publie un bulletin d’alerte sécurité : http://secunia.com/advisories/51270/.
pourquoi?
merci, ça m’évitera de l’installer sur mon iphone 5 !
Paie ta pub…
Les commentaires sont fermés.