? Elodie Beaucent : Entreprendre au féminin
L'attaque a été développée par Carlos Reventlov autour d'un vulnérabilité qu'il a trouvé dans Instagram à la mi-Novembre. Il a averti Instagram du problème le 11 novembre, mais depuis mardi dernier, il n'avait pas été corrigé.
La vulnérabilité est dans la version 3.1.2 de l'application d'Instagram, sortie le 23 octobre, pour l'iPhone. Reventlov a constaté que si certaines activités sensibles, telles que la connexion et l'édition de données de profil, sont cryptées lorsqu'elles sont envoyées sur Instagram, d'autres données ont été envoyées en texte brut. Il a testé les deux attaques sur un iPhone 4 sous iOS 6. Il a d'abord trouvé le problème
[Plus d'informations: Comment supprimer les logiciels malveillants sur votre PC Windows]
"Lorsque la victime démarre l'application Instagram, -text cookie est envoyé au serveur Instagram ", a écrit Reventlov. "Une fois que l'attaquant a obtenu le cookie, il est capable de créer des requêtes HTTP spéciales pour obtenir des données et supprimer des photos."Le cookie en texte brut peut être intercepté en utilisant une attaque "man-in-the-middle" sur le même LAN (réseau local) que la victime. Une fois le cookie obtenu, le hacker peut supprimer ou télécharger des photos ou accéder aux photos d'une autre personne qui est amie avec la victime.
La société de sécurité danoise Secunia a vérifié l'attaque et émis un avis.
Reventlov a continué à étudier le potentiel de la vulnérabilité et trouvé le problème de cookie pourrait également permettre au pirate de prendre le contrôle du compte de la victime. Encore une fois, l'attaquant doit être sur le même LAN que la victime.
Le compromis utilise une méthode appelée usurpation ARP (Address Resolution Protocol), où le trafic web du périphérique mobile de la victime est acheminé via l'ordinateur de l'attaquant. Reventlov a écrit qu'il est alors possible d'intercepter le cookie en texte brut.
En utilisant un autre outil pour modifier les en-têtes d'un navigateur web pendant la transmission aux serveurs d'Instagram, il est possible de se connecter en tant que victime adresse e-mail, ce qui entraîne un compte compromis. Le correctif pour Instagram est simple: le site doit toujours utiliser HTTPS pour les demandes d'API contenant des données sensibles, écrit Reventlov.
"J'ai trouvé que beaucoup d'applications iPhone sont vulnérables à de telles choses mais pas trop Des applications comme Instagram », a écrit Reventlov dans un courriel au service de nouvelles d'IDG.
Ni les responsables d'Instagram ni ceux de Facebook n'ont pu être contactés immédiatement lundi. Reventlov a écrit dans ses avis qu'il a reçu une réponse automatique quand il a dit à Instagram du problème.
Envoyez des bouts de nouvelles et des commentaires à [email protected]. Suivez-moi sur Twitter: @jeremy_kirk
Le Sénat américain se rapproche lundi à adopter un énorme plan de relance économique, mais une version de compromis du projet de loi coupe environ 2 milliards de dollars US pour le déploiement du haut débit aux Etats-Unis. Les dirigeants du Sénat espèrent pouvoir voter lundi soir pour mettre fin au débat sur la reprise américaine. Loi sur le réinvestissement Si les démocrates obtiennent les 60 voix nécessaires pour mettre fin au débat, un vote final sur le projet de loi aura lieu mardi, a déclar
Trois républicains se joindraient à 48 démocrates pour voter fin du débat tard lundi. La plupart des républicains au Sénat se sont plaints que le projet de loi coûte trop cher et a des programmes de dépenses à long terme qui n'aideront pas l'économie américaine.
L'USTR a rejeté une demande d'information sur un traité secret anticontrefaçon. Représentant (USTR), une partie du bureau du président Barack Obama, a refusé une demande d'information d'une entreprise sur un accord commercial secret anti-contrefaçon en cours de négociation, en invoquant les préoccupations de sécurité nationale. de Knowledge Ecology International, un groupe de recherche et de plaidoyer en propriété intellectuelle, même si Obama, dans une de ses premières notes présidentielles, a
L'USTR sous Obama semble prendre la même position au sujet de l'Accord commercial anti-contrefaçon (ACTA) que sous l'ancien président George Bush, que les documents du traité ne sont pas ouverts au public. L'une des promesses électorales d'Obama était de rendre le gouvernement plus ouvert et plus réceptif au public. L'USTR, dans une lettre adressée au directeur de Knowledge Ecology International, James Love, déclarait que l'ACTA était un accord anticontrefaçon et antipirat Les critiques du secre
Partage de fichiers Windows Zero-Day permet la reprise de PC
Selon un nouvel avis de sécurité de Microsoft, un bug SMB peut être