Instagram, account rubabili usando Wi-Fi pubblici

Facebook, a conoscenza della falla da tempo, non l'ha ancora sistemata.



[ZEUS News - www.zeusnews.it - 30-07-2014]

insta

C'è una falla in Instagram che permette di rubare gli account di chi lo usa su una rete Wi-Fi pubblica.

La correzione è stata promessa, ma non è ancora attiva, per cui fino a quel momento è meglio usare Instagram soltanto su reti Wi-Fi private (o che non possano ospitare aggressori) oppure tramite la trasmissione dati della rete cellulare.

Stando alla descrizione di questa falla, rubare un account Instagram via Wi-Fi è davvero semplice a causa di una scelta tecnica ottusa da parte di Facebook, a riprova dell'idea che noi utenti, per i gestori dei social network, siamo carne da cannone: della nostra sicurezza e della nostra privacy, a loro, non frega assolutamente nulla.

Il problema è stato segnalato a Facebook da uno sviluppatore londinese, Stevie Graham, che però si è sentito dire che non verrà ricompensato per la sua segnalazione responsabile, come invece è avvenuto in altri casi, perché la falla è già nota a Facebook. Per cui ha deciso di rendere pubblica la vulnerabilità, in modo da spingere finalmente Facebook (proprietaria di Instagram) a sistemarla invece di ignorarla.

La falla sta nel fatto che l'app di Instagram usa l'HTTP per buona parte del proprio scambio di dati: il nome dell'account e il relativo numero vengono scambiati senza cifratura, per esempio, e c'è un cookie che può essere intercettato per accedere a Instagram spacciandosi per l'utente senza doversi riautenticare, potendo quindi leggere i messaggi dell'utente e postare a suo nome.

La tecnica è questa: l'aggressore si collega alla stessa rete Wi-Fi usata dalla vittima. Non importa se la rete è cifrata (Graham specifica WEP) o aperta. Poi l'aggressore mette la propria interfaccia di rete in modalità promiscua, ascoltando tutto il traffico della rete Wi-Fi, e lo filtra alla ricerca di riferimenti a i.instagram.com.

Sondaggio
Come preferisci seguire gli aggiornamenti di Zeus News?
Apro Zeus News nel browser e vedo se ci sono novità
Sono iscritto alla newsletter
Sono abbonato ai feed RSS
Seguo le novità dal Forum dell'Olimpo Informatico
Seguo le novità da Twitter
Seguo le novità da Facebook
Tramite un altro sito che aggrega le notizie
In altro modo (suggeriscilo nei commenti!)

Mostra i risultati (6234 voti)
Leggi i commenti (13)

Quando la vittima si collega a Instagram su quella rete Wi-Fi, l'aggressore cattura il cookie che viene trasmesso e lo usa per sostituirsi alla vittima e controllare il suo account. Tutto qui.

I dettagli sono descritti in questo post di Graham: nei miei test fatti di corsa, tuttavia, non sono riuscito a replicare l'attacco sui miei account Instagram usando dispositivi iOS e Android su una mia rete Wi-Fi senza cifratura. Se qualcuno riesce a fare di meglio, lo segnali nei commenti.

L'attacco è molto simile al Firesheep di qualche anno fa, tanto che Graham l'ha battezzato Instasheep. Un attacco praticamente identico è descritto qui da Mazin Ahmed, che consiglia di evitare l'app e di usare invece il sito Web per accedere a Instagram da dispositivi mobili.

Resta valida la raccomandazione di sempre: qualunque cosa postiate su un social network, date per scontato che sia pubblica e intercettabile.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
 

Paolo Attivissimo

Paolo Attivissimo

(C) by Paolo Attivissimo - www.attivissimo.net.
Distribuzione libera, purché sia inclusa la presente dicitura.

Approfondimenti
Firesheep, l'estensione che rivela la history
La pecora nera che protegge il Wi-Fi
L'estensione di Firefox per hackerare Facebook

Commenti all'articolo (1)


Gladiator
Più che carne da cannone gli utonti dei social sono limoni da spremere fino all'ultima goccia, se incidentalmente qualcuno carpisce le loro credenziali e si sostituisce a loro facendo dani di qualsiasi tipo, si chiamano "danni collaterali" e allo zuccherone e Co. non frega proprio nulla... :roll: Leggi tutto
3-8-2014 15:25
Inserisci un commento - anche se NON sei registrato

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
La discriminazione è più difficile da vedere rispetto al passato, ma c'è sempre. Quale di queste affermazioni ti senti di condividere maggiormente?
Le donne spesso sono additate come più pettegole degli uomini e ritenute meno simpatiche.
Le donne hanno più difficoltà degli uomini a ricevere il giusto credito quando partecipano a progetti di gruppo.
Le donne sono giudicate più severamente degli uomini per il loro aspetto.
Le donne in genere ricevono delle proposte economiche più basse degli uomini, a parità di posizione.
Le donne sono ritenute non qualificate fino a quando non hanno dato prova di esserlo, agli uomini accade meno spesso.
Le donne vengono promosse in base ai risultati, gli uomini (anche) in base al potenziale.
Le donne spesso non vengono invitate tanto quanto gli uomini a eventi di socializzazione come le uscite al pub o a vedere le partite.

Mostra i risultati (1121 voti)
Settembre 2020
n. 3409 del 24-09-2020
Attacco ransomware mette in ginocchio Luxottica
n. 3408 del 21-09-2020
Ransomware blocca ospedale, muore una paziente
n. 3407 del 18-09-2020
Veicolo autonomo investe e uccide; guidatore accusato di omicidio colposo
n. 3406 del 16-09-2020
Il bug più serio mai scoperto in Windows
n. 3405 del 14-09-2020
Bug in Immuni vanifica l'efficacia dell'app
n. 3404 del 11-09-2020
Facebook ti paga se disattivi l'account
n. 3403 del 09-09-2020
Amazon cancella 20.000 recensioni fake
n. 3402 del 08-09-2020
Samsung brevetta lo smartphone completamente trasparente
n. 3401 del 06-09-2020
L'app che abilita il God Mode in Windows 10
n. 3400 del 03-09-2020
Intel, i Core di undicesima generazione sorpassano Amd
n. 3399 del 01-09-2020
Windows 10 e il bug che deframmenta di continuo gli Ssd
Agosto 2020
n. 3398 del 31-08-2020
Windows 10 rimuoverà automaticamente le app meno utilizzate
n. 3397 del 28-08-2020
Malware negli smartphone a basso costo ruba dati e denaro
n. 3396 del 26-08-2020
Duplicare una chiave col microfono dello smartphone
n. 3395 del 22-08-2020
Chrome, Url troncati per combattere il phishing
Tutti gli Arretrati
Vecchi articoli
Olimpo Informatico


 
web metrics