Как создавался дизайн iPhone 8
En säkerhetsforskare publicerade på fredag en annan attack på Facebook: s Instagram-bilddelningstjänst som kan tillåta en hacker att ta kontroll över ett offerets konto.
Anfallet utvecklades av Carlos Reventlov kring en sårbarhet han hittade inom Instagram i mitten av november. Han anmälde Instagram av problemet den 11 november, men senast tisdag hade det inte rättats.
Sårbarheten finns i 3.1.2-versionen av Instagrams ansökan, som släpptes den 23 oktober för iPhone. Reventlov fann att medan vissa känsliga aktiviteter, till exempel inloggning och redigering av profildata, krypteras när de skickas till Instagram, så skickades annan data i vanlig text. Han testade de två attackerna på en iPhone 4 som körde iOS 6, där han först hittade problemet.
[Ytterligare läsning: Så här tar du bort skadlig kod från din Windows-dator]"När offret startar Instagram-appen, -textkaka skickas till Instagram-servern, "skrev Reventlov. "När angriparen får kakan kan han skapa speciella HTTP-förfrågningar för att få data och radera foton."
Smaltextkakan kan avlyssas med hjälp av en man-i-mitten attack så länge hackaren är på samma LAN (lokalnätverk) som offer. När kakan är uppnådd kan hackaren ta bort eller ladda ner bilder eller få tillgång till bilder från en annan person som är vän med offret.
Det danska säkerhetsbolaget Secunia verifierade attacken och utfärdat en rådgivning.
Reventlov fortsatte att studera risken för sårbarheten och hittade cookieproblemet kan också göra det möjligt för hackaren att ta över offrets konto. Återigen måste angriparen vara på samma LAN som offeret.
Kompromissen använder en metod som kallas ARP (Address Resolution Protocol) -spoofing, där webbtrafiken för offrets mobilenhet kanaliseras via attackerens dator. Reventlov skrev att det då är möjligt att fånga upp den enkla textkakan.
Genom att använda ett annat verktyg för att ändra rubrikerna i en webbläsare under överföring till Instagrams servrar, är det möjligt att sedan logga in som offer och byta offrets e-postadress, vilket resulterar i ett kompromissat konto. Fixen för Instagram är enkelt: webbplatsen ska använda alltid HTTPS för API-förfrågningar som har känsliga data skrev Reventlov.
"Jag har funnit att många iPhone-appar är sårbara för sådana saker men inte för många är högprofilerade appar som Instagram ", skrev Reventlov i ett mail till IDG News Service.
Varken Instagram eller Facebook-tjänstemän kunde omedelbart nås på måndag. Reventlov skrev i hans rådgivning att han fick ett automatiskt svar när han berättade Instagram av frågan.
Skicka nyhetstips och kommentarer till [email protected]. Följ mig på Twitter: @jeremy_kirk
För tidigt avslöjande av en Windows-sårbarhet för några månader sedan ledde det till en förnyad debatt på etikens sårbarhetsinformation. Microsoft vill flytta kulturen av sårbarhet och säkerhetsforskning från "ansvarsfullt avslöjande" till "samordnat sårbarhetsinformation".
Med Microsoft-tillvägagångssättet samarbetar säkerhetsforskare och programvaruleverantörer för att utveckla lösningar - förhoppningsvis innan sårbarheten upptäcks av angripare av börjar att utnyttjas aktivt. Endast i händelse av aktiva attacker bör information om sårbarheten delas med allmänheten, och även då bör upplysningen samordnas på ett ansvarsfullt sätt.
Forskare: Sårbarhet i flygsystem möjliggör fjärrflygning av flygplan
Bristen på säkerhet i kommunikationsteknik som används inom flygindustrin gör det möjligt att fjärrera utnyttja sårbarheter i kritiska inbyggda system och attackflygplan under flygning, enligt forskning som presenterades onsdagen vid Hack in Box-säkerhetskonferensen i Amsterdam.
Youtube 2.0 för iphone möjliggör multitasking i appen
En översyn av den nya YouTube 2.0-appen för iPhone som inkluderar multitasking och bättre hantering av spellistor.