Übernahme von Nutzerkonten möglich

Instagram-App für iPhone ungenügend gesichert

Der Sicherheitsforscher Carlos Reventlov hat letzte Woche einen weiteren Angriffsvektor auf Facebooks Instagram-Fototausch-Dienst veröffentlicht, der zur Übernahme von Nutzerkonten führen kann. Offensichtlich ist der Netzwerkverkehr der App für iPhones nur unzureichend abgesichert.

Die von Carlos Reventlov entwickelte Attacke greift eine Sicherheitslücke auf, die er entdeckt und am 11. November an Instagram gemeldet hatte. Nach eigenen Angaben hat er außer einer automatischen Empfangsbestätigung keine Rückmeldung von Instagram erhalten. Die Lücke wurde zumindest bis zum 27. November noch nicht beseitigt.

Die Verwundbarkeit der iPhone-App befindet sich in Version 3.1.2 vom 23. Oktober. Wie der Forscher feststellte, werden zwar einige Vorgänge wie das Anmelden bei dem Dienst und das Editieren des Profils verschlüsselt gesendet, andere Daten dagegen nicht. So wird beispielsweise beim Start der Instagram-App ein Session-Cookie unverschlüsselt an den Instagram-Server gesendet. Fängt ein Angreifer dieses Cookie mittels eines Man-in-the-middle-Angriffs ab, kann er mit Hilfe speziell konstruierter HTTP-Requests Daten abfangen und auf den Nutzerbereich des Opfers zugreifen. Dabei können Fotos angesehen, manipuliert und neu hochgeladen werden. Auch auf Fotos von mit dem Opfer befreundeten Personen besteht Zugriff. Sind die Accounts von Facebook oder Twitter mit der App verknüpft, könnten manipulierte Fotos auch dort auftauchen. Die Sicherheitsfirma Secunia hat daraufhin ein sogenanntes Security Advisory erlassen.

Wie Reventlov bei weiteren Versuchen herausfand, kann ein Angreifer über das abgefangene Cookie auch den gesamten Account des Opfers übernehmen. Das gelingt durch ARP-Spoofing, wobei der Netzverkehr des Opfers an den Angreifer umgeleitet wird. Danach kann die E-Mail-Adresse des Nutzerkontos geändert werden und der Account ist kompromittiert.

Beide Szenarien gelingen nur, wenn sich der Angreifer im gleichen lokalen Netzwerk wie das Opfer befindet. Der simple Rat von Reventlov an Instagram lautet, API-Anfragen, die sensible Daten betreffen, ausschließlich über HTTPS abzuwickeln. Bezüglich der generellen Sicherheit von iPhone-Apps sagt Reventlov, „dass viele davon verletzbar sind, darunter aber nicht sehr viele weit verbreitete Apps wie beispielsweise Instagram“.