Instagram: une faille de sécurité dévoilée par un expert !





Un expert en sécurité a dévoilé une vulnérabilité dans l'app Instagram pour iOS (version 3.1.2) qui peut s'avérer dangereuse en terme de conséquences.
En effet, cette faille qui consiste en échange non sécurisé de certaines données entre l'application et les serveurs de cette dernière (en passant par HTTP), permet à un pirate qui se retrouve sur le même LAN de les intercepter et prendre le contrôle du compte de la victime:
The Instagram app communicates with the Instagram API via HTTP and HTTPs connections.
Highly sensitive activities, such as login and editing profile data, are sent through a secure channel. However, some other request are sent through plain HTTP without a signature, those request could be exploited by an attacker connected to the same LAN of the victim’s iPhone.
The only authentication method for some HTTP calls is an standard cookie that is sent without encryption when the user starts the Instagram app.
An attacker on the same LAN of the victim could launch a simple arpspoofing attack to trick the iPhones into passing port 80 traffic through the attackers machine. When the victim starts the Instagram app a plain text cookie is sent to the Instagram server, once the attacker gets the cookie he is able to craft special HTTP requests for getting data and deleting photos.
L'expert en sécurité a confirmé avoir contacté le service Instagram, en leur signalant cette faille, mais sans obtention de réponse. Il a alors publié les détails de cette faille, en exposant même le code qui permet de l'exploiter. Voilà, par exemple, le code qui permet de supprimer une photo :

# http://instagram.com/api/v1/media/12345678901234567890_123456/delete/
POST /api/v1/media/12345678901234567890_123456/delete/ HTTP/1.1
Accept-Encoding: gzip
Accept-Language: en-us
Connection: keep-alive
Content-Length: 0
Cookie: ds_user_id=USER_ID; igls=USER_NAME; sessionid=SESSION_STRING
User-Agent: Instagram 3.1.2 (iPhone; iPhone OS 6.0; en_US) AppleWebKit/420+
Pour remédier à ce problème, la sécurisation des canaux d'échange est nécessaire.

No Response to "Instagram: une faille de sécurité dévoilée par un expert !"

Enregistrer un commentaire

Related Posts Plugin for WordPress, Blogger...
 

Catégories

4k accessoire acta actualités amazon android anonymous anti-virus appareil photo apple apps art art visuel astuces asus BlackBerry blog blogger bon plan bracelet Buzz censure ces2013 ces2014 ces215 chrome cinéma cloud computing community manager Comparatif Computex 2012 Computex 2013 Computex 2014 cydia dell design diablo 3 disque dur dns documentaire doodle download e-commerce e-learning E3 2012 E3 2013 ebook échos du web edito email études excel extension facebook film firefox firefox os fonepad forum foursquare free gadget galaxy gear galaxy mega galaxy nexus galaxy note galaxy note 10.1 galaxy note 2 galaxy note 3 galaxy note 3 neo galaxy note 4 galaxy note 8.0 galaxy note edge galaxy notepro galaxy round galaxy s duos 2 galaxy s2 plus Galaxy S3 galaxy S3 mini galaxy S4 galaxy S4 mini galaxy s5 galaxy s6 galaxy s7 galaxy tab galaxy tab 3 galaxy tabpro Gamescom 2012 Gamescom 2013 gear fit geek gmail google Google Drive Google Glass google I/O Google Keep google tv google+ graphisme gta5 hp htc html5 Huawei humour ie ie9 ifa 2012 ifa 2013 ifa 2014 illustration imprimante 3D info mag récap infographie insolite instagram intel iOS ipad ipad air ipad mini ipad pro ipad2 ipad3 ipad4 iphone iPhone 5 iphone 5c iphone 5s iphone 6 iphone 6 plus iphone 6s iphone 6s plus iPod ipv6 iwatch jailbreak jeux jeux vidéos jolla kindle kindle fire LG linkedin linux livre blanc logo lumia mac os macbook mega megaupload messagerie microsoft microsoft surface Mobile mooc moodle moto 360 moto g moto x msn musique MWC MWC 2013 MWC 2014 MWC 2015 MWC 2016 navigateurs nexus 10 nexus 4 nexus 5 nexus 6 nexus 7 nexus 9 nexus q nokia notebook numbers nvidia office 2013 orange OS os x paypal pc pdf photographie pinterest piratage pollution powerpoint programmation récap tutos réseau réseaux sociaux Review rss sailfish samsung Samsung Galaxy sécurité SEO séries siri skype smartphone smartwatch socl sony startup streaming tablette technologie test timeline top top games top weekly games torrent tumblr tunisiana tunisie tunisie télécom tutoriels tv twitter ubisoft utilitaire vidéo vie privée vine vpn wallpaper wii u wiko windows windows phone windows10 Windows8 word wordpress wwdc 2012 wwdc 2013 wwdc 2014 xbox yahoo youtube

Partenaires

Notre site Info Magazine est listé dans la catégorie Informatique : Actualités informatiques de l'annuaire Fiche descriptive de Youtube

VDP-Annuaire annuaire gratuit

Copyright © 2013 Info Magazine All rights reserved.
Converted To Blogger Template by Blogspot Templates Theme By- WooThemes