یک آسیب‌پذیری به مهاجم اجازه می‌دهد تا هر حساب کاربری اینستاگرام را در عرض ۱۰ دقیقه هک کند

مواظب باشید! سرویس به اشتراک‌گذاری عکس متعلق به فیس‌بوک، به‌تازگی یک آسیب‌پذیری بحرانی را وصله کرده است که می‌تواند به هکرها اجازه دهد تا هر حساب کاربری اینستاگرام را بدون نیاز به هرگونه تعامل با کاربران هدف، تحت تأثیر قرار دهد. درحال‌حاضر، سرویس به اشتراک‌گذاری عکس اینستاگرام محبوب‌ترین شبکه و رسانه‌ی اجتماعی در جهان پس از فیس‌بوک به شمار می‌رود. بااین‌حال، پلتفرم‌های بزرگی همچون فیس‌بوک، گوگل، لینکدین و اینستاگرام با وجود داشتن مکانیزم‌های امنیتی پیشرفته، کاملا در برابر هکرها ایمن نیستند و می‌توانند تحت تأثیر آسیب‌پذیری‌های شدیدی قرار بگیرند. برخی از این آسیب‌پذیری‌ها اخیرا وصله شده‌اند، تعدادی هنوز درحال وصله‌شدن هستند و بسیاری دیگر نیز احتمالا پابرجا هستند، اما هنوز شناسایی نشده‌اند.

جزئیات یکی از این آسیب‌پذیری‌های بحرانی موجود در اینستاگرام که می‌توانست امکان بازنشانی رمز عبور هر حساب کاربری و درنتیجه، کنترل کامل آن را برای مهاجم راه دور فراهم سازد، در تاریخ ۱۵ ژوئیه منتشر شد. این آسیب‌پذیری که در مکانیزم بازیابی رمز عبور اجراشده در نسخه‌های تلفن همراه اینستاگرام وجود دارد، توسط یک هکر کلاه سفید هندی با نام Laxman Muthiyah کشف و گزارش شده است. «بازنشانی یا بازیابی رمز عبور» قابلیتی است که به کاربران اجازه می‌دهد تا درصورت فراموش‌کردن رمز عبور خود، مجددا به حساب‌های خود دسترسی پیدا کنند.

در اینستاگرام، کاربران باید کد محرمانه‌ی شش رقمی ارسال‌شده به شماره‌ی تلفن همراه یا ایمیل خود را به‌منظور اثبات هویت خود، در عرض ۱۰ دقیقه تأیید کنند. به این معنی که مهاجم می‌تواند با استفاده از این کد که از میان یک میلیون ترکیب مختلف ارسال شده و نیز از طریق انجام یک حمله‌ی جستجوی فراگیر، قفل حساب‌های کاربری اینستاگرام را باز کند، اما این کار به این سادگی‌ها هم نیست، چراکه اینستاگرام با فعال‌کردن قابلیت rate-limiting از انجام چنین حملاتی جلوگیری می‌کند.

با‌این‌حال،Laxman  متوجه شد که می‌توان از طریق ارسال درخواست‌های جستجوی فراگیر از آدرس‌های آی‎پی مختلف به‌صورت هم‌زمان و ایجاد یک نوع شرایط رقابتی این محدودیت را دور زد. به‌ گفته‌ی Laxman، با ایجاد شرایط رقابتی (ارسال درخواست‌های هم‌زمان) و تغییر آدرس‌های آی‌پی می‌توان مکانیزم محدودکننده‌ی سرعت درخواست سیستم را که همان ۱۰ دقیقه زمان انقضای تأیید کد ارسالی است، دور زد. Laxman با موفقیت نشان داد که این آسیب‌پذیری می‌‌تواند با ارسال ۲۰۰هزار درخواست به‌صورت هم‌زمان بدون آن‌که مسدود شود، حساب‌های کاربری اینستاگرام را به سرقت ببرد.  بااین‌حال، در یک حمله‌ی واقعی، مهاجم تنها به ۵هزار آدرس آی‌پی مختلف برای هک‌کردن یک حساب کاربری نیاز دارد. با آن‌که این رقم نیز بزرگ به‌نظر می‌رسد، اما درصورت استفاده از ارائه‌دهندگان خدمات ابری مانند آمازون و یا گوگل، انجام حمله‌ی کامل یک میلیون کدی حدود ۱۵۰ دلار برای مهاجم هزینه خواهد داشت.

Laxman همچنین اثبات مفهومی بهره‌برداری از این آسیب‌پذیری را که درحال‌حاضر توسط اینستاگرام وصله شده است، منتشر کرده و ۳۰هزار دلار پاداش نیز به‌عنوان بخشی از برنامه‌ی پاداش در ازای اشکال اینستاگرام دریافت کرده است. حال، به کاربران به‌شدت توصیه می‌شود تا به‌منظور محافظت از حساب‌های خود در برابر چنین حملاتی و همچنین کاهش احتمال آسیب‌دیدن هنگامی که مهاجمان به‌طور مستقیم برنامه‌های آسیب‌پذیر را هدف قرار می‌دهند، قابلیت «احراز هویت دو عاملی» را فعال کنند. این قابلیت می‌تواند از دسترسی هکرها به حساب‌های کاربری جلوگیری کند، حتی اگر آن‌ها به نحوی موفق به سرقت رمزهای عبور کاربران شده باشند!

منبع

پست‌های مشابه

Leave a Comment