Súlyos Instagram-hibát foltozott a Facebook
Az Instagram népszerűsége töretlen, de töretlen a szolgáltatás biztonsági hibáinak listája is. Aggasztó, hogy a Facebook továbbra sem foglalkozik a rendszer megerősítésével, a mélységi védelem teljesen hiányzik.
Két komolyabb, a brute-force (próbálgatásos) támadást lehetővé tévő hibát foltozott a Facebook az Instagram szolgáltatásában. Az Arne Swinnen által megtalált egyszerű hibák lehetővé tették, hogy egy támadó a kiválasztott fiók jelszavát tetszőleges alkalommal próbálja meg kitalálni, akár automatizált eszközökkel is.
Van baj
Az első sebezhetőség az Instagram mobilappjának hitelesítési folyamatában található. A rendszer beépített védelemmel rendelkezik a próbálkozásos támadások ellen, és egy IP-címről maximum 1000 próbálkozást engedélyez, ezen felül szerveroldalról kizárja a klienst. De a korlátozás csak a következő 1000 próbálkozásra érvényes, ezekre "username not found" választ ad a kiszolgáló, de a 2000.-től azonban minden második próbálkozást átengedi már a rendszer, így a támadónak van lehetősége tetszőleges számban próbálkozni. Swinnen tesztje szerint egy kezdetleges próbálkozással mintegy 45-50 jelszó próbálható ki másodpercenként, egy nap alatt tehát 4,3 millió jelszó is kipróbálható - ez pedig fejlettebb eszközökkel nyilván sokat optimizálható.
Égbe révedő informatikusok: az Időkép-sztori Mi fán terem az előrejelzés, hogy milyen infrastruktúra dolgozik az Időkép alatt, mi várható a deep learning modellek térnyerésével?
Egy másik, ettől független hiba szintén a brute-force (próbálkozásos támadást) teszi lehetővé. Az Instagram egy ideje lehetővé teszi a webes regisztrációt, és ha egy meglévő felhasználónévvel szeretnénk regisztrálni, akkor hibaüzenetet ad. Azonban ez a hiba más, ha a felhasználónévhez a hozzá tartozó jelszóval próbálunk belépni, és más, ha hibás jelszóval párosítjuk. Ezen a felületen pedig Swinnen szerint semmilyen próbálkozás-korlátozás nincs, tetszőleges számú kísérletet enged, sőt, a helyes jelszóval be is enged a támadáshoz használt IP-címről.
A két hibát Swinnen december legvégén illetve február elején jelentette, ezekért a hibavadász program keretében a biztonsági szakembernek a Facebook 5000 dollárt fizetett ki. A második hibát egyébként elsőre nem is sikerült foltozni, az első javítás hatástalannak bizonyult. Swinnen egyébként mára Instagram-specialistának számít, a tíz korábbi érdekes Instagram-hibát bemutató prezentációja itt érhető el, a több tízmillió fiókot kiszolgáltató (szintén 5000 dolláros) hibát pedig itt mutatta be.
Swinnen blogbejegyzése kiemeli, hogy a támadási vektorokat több különálló faktor teszi különösen veszélyessé. Egyrészt az Instagram növekvő sorszámban adja ki az egyedi felhasználói azonosítókat, vagyis gyakorlatilag rendelkezünk a támadható fiókok listájával. Egy másik faktor, hogy az Instagram csak 6 karakterből álló jelszót kér, amit semmilyen más megkötéssel nem tetéz, így lehet csupa kisbetű, vagy csupa szám is a jelszó. A kétfaktoros beléptetés is csak februárban indult el, de döbbenetes módon továbbra sem elérhető a legtöbb országban (Magyarországon sem), a fiókokat pedig nem védi kizárás-megerősítésig (lockout), feltörés esetén.
A mélységi védelem teljes hiánya, a gyenge jelszavak és a pongyolán programozott szerveroldali védelem együtt mintegy 400 millió felhasználói fiókot tett ki a támadásnak. Míg más szolgáltatások (például a Google vagy a Facebook) a támadás alatt lévő fiókokat biztonsági okokból zárolja és csak extra megerősítés birtokában oldja fel, a támadást intéző IP-címeket pedig szűri, az Instagram gyakorlatilag semmilyen hasonló védelmet nem alkalmaz - ahogy azt a fenti példák is illusztrálják.