مواظب باشید! سرویس به اشتراکگذاری عکس متعلق به فیسبوک، بهتازگی یک آسیبپذیری بحرانی را وصله کرده است که میتواند به هکرها اجازه دهد تا هر حساب کاربری اینستاگرام را بدون نیاز به هرگونه تعامل با کاربران هدف، تحت تأثیر قرار دهد. درحالحاضر، سرویس به اشتراکگذاری عکس اینستاگرام محبوبترین شبکه و رسانهی اجتماعی در جهان پس از فیسبوک به شمار میرود. بااینحال، پلتفرمهای بزرگی همچون فیسبوک، گوگل، لینکدین و اینستاگرام با وجود داشتن مکانیزمهای امنیتی پیشرفته، کاملا در برابر هکرها ایمن نیستند و میتوانند تحت تأثیر آسیبپذیریهای شدیدی قرار بگیرند. برخی از این آسیبپذیریها اخیرا وصله شدهاند، تعدادی هنوز درحال وصلهشدن هستند و بسیاری دیگر نیز احتمالا پابرجا هستند، اما هنوز شناسایی نشدهاند.
جزئیات یکی از این آسیبپذیریهای بحرانی موجود در اینستاگرام که میتوانست امکان بازنشانی رمز عبور هر حساب کاربری و درنتیجه، کنترل کامل آن را برای مهاجم راه دور فراهم سازد، در تاریخ ۱۵ ژوئیه منتشر شد. این آسیبپذیری که در مکانیزم بازیابی رمز عبور اجراشده در نسخههای تلفن همراه اینستاگرام وجود دارد، توسط یک هکر کلاه سفید هندی با نام Laxman Muthiyah کشف و گزارش شده است. «بازنشانی یا بازیابی رمز عبور» قابلیتی است که به کاربران اجازه میدهد تا درصورت فراموشکردن رمز عبور خود، مجددا به حسابهای خود دسترسی پیدا کنند.
در اینستاگرام، کاربران باید کد محرمانهی شش رقمی ارسالشده به شمارهی تلفن همراه یا ایمیل خود را بهمنظور اثبات هویت خود، در عرض ۱۰ دقیقه تأیید کنند. به این معنی که مهاجم میتواند با استفاده از این کد که از میان یک میلیون ترکیب مختلف ارسال شده و نیز از طریق انجام یک حملهی جستجوی فراگیر، قفل حسابهای کاربری اینستاگرام را باز کند، اما این کار به این سادگیها هم نیست، چراکه اینستاگرام با فعالکردن قابلیت rate-limiting از انجام چنین حملاتی جلوگیری میکند.
بااینحال،Laxman متوجه شد که میتوان از طریق ارسال درخواستهای جستجوی فراگیر از آدرسهای آیپی مختلف بهصورت همزمان و ایجاد یک نوع شرایط رقابتی این محدودیت را دور زد. به گفتهی Laxman، با ایجاد شرایط رقابتی (ارسال درخواستهای همزمان) و تغییر آدرسهای آیپی میتوان مکانیزم محدودکنندهی سرعت درخواست سیستم را که همان ۱۰ دقیقه زمان انقضای تأیید کد ارسالی است، دور زد. Laxman با موفقیت نشان داد که این آسیبپذیری میتواند با ارسال ۲۰۰هزار درخواست بهصورت همزمان بدون آنکه مسدود شود، حسابهای کاربری اینستاگرام را به سرقت ببرد. بااینحال، در یک حملهی واقعی، مهاجم تنها به ۵هزار آدرس آیپی مختلف برای هککردن یک حساب کاربری نیاز دارد. با آنکه این رقم نیز بزرگ بهنظر میرسد، اما درصورت استفاده از ارائهدهندگان خدمات ابری مانند آمازون و یا گوگل، انجام حملهی کامل یک میلیون کدی حدود ۱۵۰ دلار برای مهاجم هزینه خواهد داشت.
Laxman همچنین اثبات مفهومی بهرهبرداری از این آسیبپذیری را که درحالحاضر توسط اینستاگرام وصله شده است، منتشر کرده و ۳۰هزار دلار پاداش نیز بهعنوان بخشی از برنامهی پاداش در ازای اشکال اینستاگرام دریافت کرده است. حال، به کاربران بهشدت توصیه میشود تا بهمنظور محافظت از حسابهای خود در برابر چنین حملاتی و همچنین کاهش احتمال آسیبدیدن هنگامی که مهاجمان بهطور مستقیم برنامههای آسیبپذیر را هدف قرار میدهند، قابلیت «احراز هویت دو عاملی» را فعال کنند. این قابلیت میتواند از دسترسی هکرها به حسابهای کاربری جلوگیری کند، حتی اگر آنها به نحوی موفق به سرقت رمزهای عبور کاربران شده باشند!