Offenbar ist der Netzwerkverkehr der Instagram-App unzureichend geschützt. Die App der Fotogemeinde kommuniziert unverschlüsselt über HTTP mit dem Instagram-Server, wie der Sicherheitsexperte Carlos Reventlov berichtet. Laut Reventlov kann ein Angreifer beim Abhören des Datenverkehrs ein Session-Cookie stehlen und damit im Kontext des Abgehörten auf den Nutzerbereich von instagram.com zugreifen.

Der Angreifer kann dort das Passwort des Nutzers ändern, um sich anschließend mit der App einloggen zu können. Er kann nach der Übernahme des Accounts sämtliche Möglichkeiten nutzen, die der Dienst bietet. Nach eigenen Angaben hat Reventlov das Sicherheitsproblemam 10. November an Instagram gemeldet, woraufhin er nur eine automatisch Antwort erhalten haben will. Die Details veröffentlichte er zehn Tage später auf seiner Webseite. Er bietet inzwischen sogar ein Tool an, das die Instagram-Cookies automatisch aus dem Netzwerkverkehr fischt.

(ez, hannover)

(siehe auch Heise News-Ticker :)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE