Mellékleteink: HUP | Gamekapocs
Keres
Július 19-én SYSADMINDAY: egy teljes security meetup, számos szórakoztató program, és Felméri Péter standupja várja az érdeklődőket!

Súlyos Instagram-hibát foltozott a Facebook

Gálffy Csaba, 2016. május 23. 16:22
Ez a cikk több évvel ezelőtt születetett, ezért előfordulhat, hogy a tartalma már elavult.
Frissebb anyagokat találhatsz a keresőnk segítségével:

Az Instagram népszerűsége töretlen, de töretlen a szolgáltatás biztonsági hibáinak listája is. Aggasztó, hogy a Facebook továbbra sem foglalkozik a rendszer megerősítésével, a mélységi védelem teljesen hiányzik.

hirdetés

Két komolyabb, a brute-force (próbálgatásos) támadást lehetővé tévő hibát foltozott a Facebook az Instagram szolgáltatásában. Az Arne Swinnen által megtalált egyszerű hibák lehetővé tették, hogy egy támadó a kiválasztott fiók jelszavát tetszőleges alkalommal próbálja meg kitalálni, akár automatizált eszközökkel is.

Van baj

Az első sebezhetőség az Instagram mobilappjának hitelesítési folyamatában található. A rendszer beépített védelemmel rendelkezik a próbálkozásos támadások ellen, és egy IP-címről maximum 1000 próbálkozást engedélyez, ezen felül szerveroldalról kizárja a klienst. De a korlátozás csak a következő 1000 próbálkozásra érvényes, ezekre "username not found" választ ad a kiszolgáló, de a 2000.-től azonban minden második próbálkozást átengedi már a rendszer, így a támadónak van lehetősége tetszőleges számban próbálkozni. Swinnen tesztje szerint egy kezdetleges próbálkozással mintegy 45-50 jelszó próbálható ki másodpercenként, egy nap alatt tehát 4,3 millió jelszó is kipróbálható - ez pedig fejlettebb eszközökkel nyilván sokat optimizálható.

Egy másik, ettől független hiba szintén a brute-force (próbálkozásos támadást) teszi lehetővé. Az Instagram egy ideje lehetővé teszi a webes regisztrációt, és ha egy meglévő felhasználónévvel szeretnénk regisztrálni, akkor hibaüzenetet ad. Azonban ez a hiba más, ha a felhasználónévhez a hozzá tartozó jelszóval próbálunk belépni, és más, ha hibás jelszóval párosítjuk. Ezen a felületen pedig Swinnen szerint semmilyen próbálkozás-korlátozás nincs, tetszőleges számú kísérletet enged, sőt, a helyes jelszóval be is enged a támadáshoz használt IP-címről.

A két hibát Swinnen december legvégén illetve február elején jelentette, ezekért a hibavadász program keretében a biztonsági szakembernek a Facebook 5000 dollárt fizetett ki. A második hibát egyébként elsőre nem is sikerült foltozni, az első javítás hatástalannak bizonyult. Swinnen egyébként mára Instagram-specialistának számít, a tíz korábbi érdekes Instagram-hibát bemutató prezentációja itt érhető el, a több tízmillió fiókot kiszolgáltató (szintén 5000 dolláros) hibát pedig itt mutatta be.

Swinnen blogbejegyzése kiemeli, hogy a támadási vektorokat több különálló faktor teszi különösen veszélyessé. Egyrészt az Instagram növekvő sorszámban adja ki az egyedi felhasználói azonosítókat, vagyis gyakorlatilag rendelkezünk a támadható fiókok listájával. Egy másik faktor, hogy az Instagram csak 6 karakterből álló jelszót kér, amit semmilyen más megkötéssel nem tetéz, így lehet csupa kisbetű, vagy csupa szám is a jelszó. A kétfaktoros beléptetés is csak februárban indult el, de döbbenetes módon továbbra sem elérhető a legtöbb országban (Magyarországon sem), a fiókokat pedig nem védi kizárás-megerősítésig (lockout), feltörés esetén.

A mélységi védelem teljes hiánya, a gyenge jelszavak és a pongyolán programozott szerveroldali védelem együtt mintegy 400 millió felhasználói fiókot tett ki a támadásnak. Míg más szolgáltatások (például a Google vagy a Facebook) a támadás alatt lévő fiókokat biztonsági okokból zárolja és csak extra megerősítés birtokában oldja fel, a támadást intéző IP-címeket pedig szűri, az Instagram gyakorlatilag semmilyen hasonló védelmet nem alkalmaz - ahogy azt a fenti példák is illusztrálják.

Facebook

Mit gondolsz? Mondd el!

Adatvédelmi okokból az adott hír megosztása előtt mindig aktiválnod kell a gombot! Ezzel a megoldással harmadik fél nem tudja nyomon követni a tevékenységedet a HWSW-n, ez pedig közös érdekünk.
A IT-üzemeltetők világnapján egy teljes security meetup, számos szórakoztató program, és Felméri Péter standupja várja az érdeklődőket az Ankertbe.