Instagram, account rubabili usando Wi-Fi pubblici

Facebook, a conoscenza della falla da tempo, non l'ha ancora sistemata.



[ZEUS News - www.zeusnews.it - 30-07-2014]

insta

C'è una falla in Instagram che permette di rubare gli account di chi lo usa su una rete Wi-Fi pubblica.

La correzione è stata promessa, ma non è ancora attiva, per cui fino a quel momento è meglio usare Instagram soltanto su reti Wi-Fi private (o che non possano ospitare aggressori) oppure tramite la trasmissione dati della rete cellulare.

Stando alla descrizione di questa falla, rubare un account Instagram via Wi-Fi è davvero semplice a causa di una scelta tecnica ottusa da parte di Facebook, a riprova dell'idea che noi utenti, per i gestori dei social network, siamo carne da cannone: della nostra sicurezza e della nostra privacy, a loro, non frega assolutamente nulla.

Il problema è stato segnalato a Facebook da uno sviluppatore londinese, Stevie Graham, che però si è sentito dire che non verrà ricompensato per la sua segnalazione responsabile, come invece è avvenuto in altri casi, perché la falla è già nota a Facebook. Per cui ha deciso di rendere pubblica la vulnerabilità, in modo da spingere finalmente Facebook (proprietaria di Instagram) a sistemarla invece di ignorarla.

La falla sta nel fatto che l'app di Instagram usa l'HTTP per buona parte del proprio scambio di dati: il nome dell'account e il relativo numero vengono scambiati senza cifratura, per esempio, e c'è un cookie che può essere intercettato per accedere a Instagram spacciandosi per l'utente senza doversi riautenticare, potendo quindi leggere i messaggi dell'utente e postare a suo nome.

La tecnica è questa: l'aggressore si collega alla stessa rete Wi-Fi usata dalla vittima. Non importa se la rete è cifrata (Graham specifica WEP) o aperta. Poi l'aggressore mette la propria interfaccia di rete in modalità promiscua, ascoltando tutto il traffico della rete Wi-Fi, e lo filtra alla ricerca di riferimenti a i.instagram.com.

Sondaggio
Come preferisci seguire gli aggiornamenti di Zeus News?
Apro Zeus News nel browser e vedo se ci sono novità
Sono iscritto alla newsletter
Sono abbonato ai feed RSS
Seguo le novità dal Forum dell'Olimpo Informatico
Seguo le novità da Twitter
Seguo le novità da Facebook
Tramite un altro sito che aggrega le notizie
In altro modo (suggeriscilo nei commenti!)

Mostra i risultati (6249 voti)
Leggi i commenti (13)

Quando la vittima si collega a Instagram su quella rete Wi-Fi, l'aggressore cattura il cookie che viene trasmesso e lo usa per sostituirsi alla vittima e controllare il suo account. Tutto qui.

I dettagli sono descritti in questo post di Graham: nei miei test fatti di corsa, tuttavia, non sono riuscito a replicare l'attacco sui miei account Instagram usando dispositivi iOS e Android su una mia rete Wi-Fi senza cifratura. Se qualcuno riesce a fare di meglio, lo segnali nei commenti.

L'attacco è molto simile al Firesheep di qualche anno fa, tanto che Graham l'ha battezzato Instasheep. Un attacco praticamente identico è descritto qui da Mazin Ahmed, che consiglia di evitare l'app e di usare invece il sito Web per accedere a Instagram da dispositivi mobili.

Resta valida la raccomandazione di sempre: qualunque cosa postiate su un social network, date per scontato che sia pubblica e intercettabile.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
 

Paolo Attivissimo

(C) by Paolo Attivissimo - www.attivissimo.net.
Distribuzione libera, purché sia inclusa la presente dicitura.

Approfondimenti
Firesheep, l'estensione che rivela la history
La pecora nera che protegge il Wi-Fi
L'estensione di Firefox per hackerare Facebook

Commenti all'articolo (1)

Più che carne da cannone gli utonti dei social sono limoni da spremere fino all'ultima goccia, se incidentalmente qualcuno carpisce le loro credenziali e si sostituisce a loro facendo dani di qualsiasi tipo, si chiamano "danni collaterali" e allo zuccherone e Co. non frega proprio nulla... :roll: Leggi tutto
3-8-2014 15:25

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
Il fondatore di Microsoft ha chiesto all'UE di rendere più difficili gli ingressi in Europa ai migranti africani che cercano di raggiungere il continente attraverso le attuali rotte di passaggio. Sei d'accordo?
Sì.
No.

Mostra i risultati (1791 voti)
Novembre 2020
Seria falla in Windows 7, la patch c'è ma non è ufficiale
Clienti Amazon: i corrieri rubano le nostre PlayStation
Edge, una marea di estensioni pericolose ruba i dati degli utenti
Apple, multa milionaria per aver rallentato gli iPhone
Il malware che colpisce gli utenti dei siti porno
Google Foto, si va verso il servizio a pagamento
Expedia, Booking, Hotels e altri: dati degli utenti visibili e accessibili
L'aspirapolvere che recupera gli AirPod dalle rotaie
Open Shell riporta in vita il menu Start di Windows 7
WhatsApp, ora è più facile eliminare foto e video inutili
Ottobre 2020
Windows 10, Microsoft si prepara a rivoluzionare l'interfaccia
Windows 10 elimina la schermata Sistema, un trucco la riporta in vita
L'app che “spoglia” le donne: garante privacy apre istruttoria
Gasolio addio, FS vuole i treni a idrogeno
Windows 10, guai a catena dopo l'ultimo aggiornamento
Tutti gli Arretrati


web metrics