Lek in Instagram-app zorgt dat hacker account kan overnemen

Instagram, tegenwoordig onderdeel van Facebook, bevat een lek waardoor hackers je account kunnen overnemen. Het lek werd ontdekt in de nieuwste versie van de iPhone-app (3.1.2) die sinds 23 oktober beschikbaar is. Beveiligingsonderzoeker Carlos Reventlov waarschuwde Instagram op 11 november, maar het bedrijf heeft het probleem nog niet met een tussentijdse update opgelost. Reventlov kiest daarom nu voor openbaarheid, om de kwetsbaarheid op bredere schaal bekendheid te geven. De hacker ontdekte dat gegevens voor activiteiten zoals inloggen en het bewerken van profielen wel versleuteld worden. Maar er wordt ook informatie in onbeveiligde platte tekst verstuurd: bij het openen van Instagram stuurt de app een onversleuteld tekstbestandje naar de Instagram-server.

Dat bestand kan met een man-inthe-middle-aanval gemakkelijk worden onderschept, waarna een aanvaller specifieke HTTP-requests kan aanmaken om data te achterhalen of foto’s te wissen.

Het Deense beveiligingsbedrijf Secunia heeft de aanvalsmethode van Reventlov geverifieerd en waarschuwt voor mogelijk schadelijke gevolgen. Een aanvaller kan het Instagram-account van een gebruiker overnemen. De aanvaller moet dan wel op hetzelfde netwerk zijn aangemeld als het slachtoffer. Er is een eenvoudige oplossing die Instagram in een tussentijdse update kan doorvoeren: gebruik van https voor API-verzoeken met privacygevoelige data. Reventlov kwam nog meer apps tegen die een dergelijk lek bevatten, maar die zijn niet zo bekend en wijdverbreid als Instagram.