আইফোন উপর Instagram দুর্বলতা অ্যাকাউন্ট গ্রহণের জন্য

শুক্রবার প্রকাশিত একটি নিরাপত্তা গবেষক ফেসবুকের ইনস্টাগ্রাম ফটো-শেয়ারিং সার্ভিসের উপর আরেকটি আক্রমণের শিকার হয় যা হ্যাকারের অ্যাকাউন্টের নিয়ন্ত্রণকে নিয়ন্ত্রণ করতে পারে।

আক্রমণটি কার্লোস রেভেন্টলভের চারপাশে তৈরি করা হয়েছিল দুর্বলতা তিনি মধ্য নভেম্বর মাসে Instagram মধ্যে পাওয়া যায় তিনি 11 নভেম্বর সমস্যাটির Instagram নেন, কিন্তু গত মঙ্গলবার হিসাবে, এটি সংশোধন করা হয়নি।

আইফোন জন্য অক্টোবর 23 মুক্তি মুক্তি Instagram এর অ্যাপ্লিকেশন, 3.1.2 সংস্করণে দুর্বলতা। রিভেন্টলভ পাওয়া গেছে যে যখন কিছু সংবেদনশীল কার্যকলাপ যেমন লগিং এবং প্রোফাইল ডেটা সম্পাদনা করা হয়, তখন এনক্রিপ্ট করা হলে Instagram এ পাঠানো হয়, অন্য ডেটা সাধারণ পাঠ্যে পাঠানো হয়েছিল। তিনি একটি আইফোন 4 এ দুটি আক্রমণের পরীক্ষা করেন যেখানে iOS 6 পাওয়া যায়।

[আরও পাঠ্য: আপনার উইন্ডোজ পিসি থেকে ম্যালওয়্যার সরাতে কিভাবে]

"যখন শিকারটি Instagram অ্যাপ্লিকেশন শুরু করে, একটি প্লেইন -টেক্ট কুকি Instagram সার্ভারে পাঠানো হয়, "Reventlov লিখেছে। "একবার আক্রমণকারী কুকি পায় তবে তিনি ডেটা সংগ্রহ এবং ফটো মুছে ফেলার জন্য বিশেষ HTTP অনুরোধগুলি তৈরি করতে সক্ষম।"

হ্যাকার হ'ল যতক্ষণ না হ্যাকার হিসেবে মধ্য-আধা-হামলা ব্যবহার করে প্লেইন-টেক্সট কুকিটি আটকানো যায় শিকার হিসাবে একই ল্যান (স্থানীয় এলাকা নেটওয়ার্ক) উপর। কুকিটি একবার পাওয়া গেলে, হ্যাকার অন্য কোন ব্যক্তির ফটো ফটো অ্যাক্সেস করতে বা অ্যাক্সেস করতে পারেন যা শিকারের বন্ধু।

ডেনিশ নিরাপত্তা সংস্থার সেকুনিয়িয়া আক্রমণটি যাচাই করেছে এবং একটি অ্যাডভাইজরিটি জারি করেছে।

রিভেন্টলভ পড়া চালিয়ে যান দুর্বলতার সম্ভাব্যতা এবং কুকি ইস্যুটি পাওয়া যায় যা হ্যাকারের অ্যাকাউন্টের উপর নিয়ন্ত্রণ নিতে পারে। আবার আক্রমণকারীকে একই ল্যানের শিকার হতে হয়।

আপোসটি এআরপি (অ্যাড্রেস রিজেলিউশন প্রোটোকল) স্পুফিং নামে একটি পদ্ধতি ব্যবহার করে, যেখানে শিকারের মোবাইল ডিভাইসের ওয়েব ট্র্যাফিক আক্রমণকারীর কম্পিউটারের মাধ্যমে চালিত হয়। রিভেন্টলওভ লিখেছেন যে, প্লেইন-টেক্সট কুকিটি আটকানো সম্ভব।

Instagram এর সার্ভারগুলিতে ট্রান্সফারের সময় একটি ওয়েব ব্রাউজারের হেডারগুলি সংশোধন করার জন্য অন্য টুল ব্যবহার করে, এটির শিকার হওয়া হিসাবে সাইন ইন করা এবং শিকারের পরিবর্তন করা সম্ভব। ইমেল ঠিকানা, যার ফলে একটি আপস করা অ্যাকাউন্ট। Instagram এর জন্য ফিক্স সহজ: সাইটটি সর্বদা API এর অনুরোধের জন্য HTTPS ব্যবহার করা উচিত যা সংবেদনশীল ডেটাতে রয়েছে, Reventlov লিখেছেন।

"আমি দেখেছি যে অনেক আইফোন অ্যাপস এই ধরণের জিনিসগুলির জন্য ঝুঁকিপূর্ণ, কিন্তু অনেকগুলি হাই-প্রোফাইল নেই অ্যাপ্টস, "রিভেন্টলভ আইডিজি নিউজ সার্ভিসের একটি ই-মেইলে লিখেছেন।

সোমবারে Instagram এবং ফেসবুকের কর্মকর্তাদের অবিলম্বে পৌঁছানো যাবে না। রিভেন্টলভ তার পরামর্শে লিখেছিলেন যে তিনি একটি স্বয়ংক্রিয় উত্তর পেয়েছেন যখন তিনি ইস্যুটির Instagram বলেছিলেন।

[email protected] এ সংবাদ টিপস এবং মন্তব্য পাঠান। টুইটারে আমাকে অনুসরণ করুন: @ জেরমি_কিরক