Instagram дыры

Дыру в Instagram устранили из-за шантажа

В коде iOS – приложения Instagram несколько лет существовал баг, позволяющий злоумышленникам взламывать аккаунты этой фотосоцсети, если пользователь подключался к сервису через открытую сеть Wi-Fi.

Впервые о существовании уязвимости сообщил Стиви Грэм – разработчик из Британии. О баге он рассказал в своем твиттере 27 июля.

Программист выяснил, что Instagram для iOS частично использует небезопасное соединение по HTTP. Когда юзер открыват эпп фотосоцсети на своем iPhone и подключатся к ней посредством публичного Wi-Fi, злоумышленник, подключенный к той же сети, может отыскать смартфон и украсть аккаунт, который привязан к приложению.

instagram

Грэм утверждает, что о баге он знает уже несколько лет. Он даже рассказал о нем в новостном разделе портала Y Combinator. Разработчик рассказал, что сам найденным багом не пользовался, а вспомнил о нем лишь недавно и решил проверить, устранил ли Instagram уязвимость в своем эппе. В итоге Грэм выяснил, что уязвимость по-прежнему не исправлена.

Программист отправил отчет об уязвимости в Facebook и Instagram, рассчитывая получить денежное вознаграждение, которое соцсеть Марка Цукерберга выплачивает за сообщения о багах. Обе компании, однако, не пожелали выплачивать Грэму деньги.

Facebook – это та соцсеть, которая владеет Instagram, и эта сеть ответила, что ранее ей уже приходили сообщения о данной уязвимости, и эта уязвимость будет скоро устранена.
Программист был возмущен подобным развитием событий, а также безалаберностью специалистов обслуживающих разные сервисы, которые до того момента не устранили за долгие годы столь серьезный баг. Стиви Грэм пообещал, что выложит в сеть специально созданную им программу Instasheep, которая позволяет взламывать аккаунты через найденную им уязвимость.

Instagram
Угрозы подействовали: в комментариях к посту Стиви на Y Combinator появился Майк Кригер – сооснователь Instagram. Он подтвердил, что компания и правда затянула с исправлением бага и переводом приложения на HTTPS-протокол. Кригер пообещал, что скоро баг будет устранен, и он об этом сообщит.

Также Кригер подчеркнул, что новые функции Instagram вроде запущенного в прошлом году Instagram Direct, работают чрез защищенный HTTPS-протокол, а потому не могут быть взломаны через баг, описанный Грэмом.

29 июля iOS – версия Instagram была обновлена. В описании к апдейтам указано, что в эппе были исправлены незначительные багги, но какие именно – не уточняется.



Оставить комментарий

Вы должны авторизоваться для отправки комментария.


Введите свой email адрес:


banner-1shag-book250

Секреты СоцСетей