ComputerBase Menü
Registrieren
Suche
  1. ComputerBase
  2. Apps

Instagram-App für iPhone ungenügend gesichert

Ferdinand Thommes
16 Kommentare

Der Sicherheitsforscher Carlos Reventlov hat letzte Woche einen weiteren Angriffsvektor auf Facebooks Instagram-Fototausch-Dienst veröffentlicht, der zur Übernahme von Nutzerkonten führen kann. Offensichtlich ist der Netzwerkverkehr der App für iPhones nur unzureichend abgesichert.

Die von Carlos Reventlov entwickelte Attacke greift eine Sicherheitslücke auf, die er entdeckt und am 11. November an Instagram gemeldet hatte. Nach eigenen Angaben hat er außer einer automatischen Empfangsbestätigung keine Rückmeldung von Instagram erhalten. Die Lücke wurde zumindest bis zum 27. November noch nicht beseitigt.

Die Verwundbarkeit der iPhone-App befindet sich in Version 3.1.2 vom 23. Oktober. Wie der Forscher feststellte, werden zwar einige Vorgänge wie das Anmelden bei dem Dienst und das Editieren des Profils verschlüsselt gesendet, andere Daten dagegen nicht. So wird beispielsweise beim Start der Instagram-App ein Session-Cookie unverschlüsselt an den Instagram-Server gesendet. Fängt ein Angreifer dieses Cookie mittels eines Man-in-the-middle-Angriffs ab, kann er mit Hilfe speziell konstruierter HTTP-Requests Daten abfangen und auf den Nutzerbereich des Opfers zugreifen. Dabei können Fotos angesehen, manipuliert und neu hochgeladen werden. Auch auf Fotos von mit dem Opfer befreundeten Personen besteht Zugriff. Sind die Accounts von Facebook oder Twitter mit der App verknüpft, könnten manipulierte Fotos auch dort auftauchen. Die Sicherheitsfirma Secunia hat daraufhin ein sogenanntes Security Advisory erlassen.

Wie Reventlov bei weiteren Versuchen herausfand, kann ein Angreifer über das abgefangene Cookie auch den gesamten Account des Opfers übernehmen. Das gelingt durch ARP-Spoofing, wobei der Netzverkehr des Opfers an den Angreifer umgeleitet wird. Danach kann die E-Mail-Adresse des Nutzerkontos geändert werden und der Account ist kompromittiert.

Beide Szenarien gelingen nur, wenn sich der Angreifer im gleichen lokalen Netzwerk wie das Opfer befindet. Der simple Rat von Reventlov an Instagram lautet, API-Anfragen, die sensible Daten betreffen, ausschließlich über HTTPS abzuwickeln. Bezüglich der generellen Sicherheit von iPhone-Apps sagt Reventlov, „dass viele davon verletzbar sind, darunter aber nicht sehr viele weit verbreitete Apps wie beispielsweise Instagram“.

CB-Funk Podcast #66: EKWB am Abgrund, arm(e) AI-PCs und Benchmarks en masse mit Fabian und Jan-Frederik

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz