نفوذ در اینستاگرام در کمتر از 10 دقیقه

هکرها می‌توانند در کمتر از ۱۰ دقیقه به هر حساب کاربری در اینستاگرام نفوذ کنند.

اخیراً یک آسیب‌پذیری بحرانی در اینستاگرام کشف شد که براساس آن هر هکری می‌تواند بدون اطلاع کاربر، به‌طور کامل به اطلاعات یک حساب کاربری، دست پیدا کند. لاکشمن ماتیا (Laxman Muthiyah)، کارشناس امنیتی هندی، این نقص را به سرویس اشتراک عکس در فیس‌بوک گزارش داد.

به گفته ماتیا، نقض مذکور بر مکانیسم تنظیم رمز عبور اجرا شده به‌وسیله اینستاگرام برای تلفن همراه اثر می‌گذارد. وقتی کاربران اینستاگرام رمزهای عبور خود را درخواست بازیابی می‌کنند، باید یک رمز مخفی ۶ رقمی را که پس از ۱۰ دقیقه منقضی می‌شود تأیید کنند که برای شماره تلفن همراه یا آدرس ایمیل آنها ارسال شده‌است. این بدان معنی است که برای تغییر کلمات عبور، مهاجمان باید یک‌میلیون ترکیب را امتحان کنند.

کارشناس هندی آزمایش خود را روی حداکثر تعداد درخواست‌ها متمرکز کرد؛ وی توانست به‌طور مداوم بدون مسدود شدن و هنگام رسیدن به حداکثر تعداد درخواست‌ها در یک لحظه، موارد را ارسال کند.

ماتیا در تجزیه و تحلیل خود نوشت: وقتی کاربر شماره تلفن همراه خود را وارد می‌کند، مهاجمان یک رمزعبور ۶ رقمی به تلفن همراه او می‌فرستند. آنها باید رمز را برای تغییر وارد کنند. بنابراین اگر ما بتوانیم تمام یک میلیون کد را در نقطه پایانی تأیید امتحان کنیم، می‌توانیم رمزعبور هر کاربری را تغییر دهیم. اما من اطمینان دارم که باید در مقابله با چنین حملاتی، محدودیت‌هایی نیز وجود داشته باشند. من تصمیم گرفتم آن را آزمایش کنم. دو چیزی که ذهن انسان را مشغول می‌کند، تعداد درخواست‌ها و نبود فهرست سیاه بود.

او در نهایت دو چیز را کشف کرد که اجازه عبور از مکانیسم محدود کردن سرعت، موقعیت و چرخش آدرس آ‌ی‌پی را می‌داد.

کارشناس هندی توضیح داد: ارسال درخواست‌های هم‌زمان با استفاده از چندین آ‌ی‌پی به من اجازه فرستادن تعداد زیادی درخواست بدون محدودیت را داد. تعداد درخواست‌هایی که می‌توان ارسال کرد، به همزمانی درخواست‌ها و تعداد آ‌ی‌پی‌ها استفاده بستگی دارد. همچنین، متوجه شدم که کد منقضی در ۱۰ دقیقه، باعث می‌شود حمله سخت‌تر شود و بنابراین ما برای حمله به هزاران آ‌ی‌پی نیاز داریم.

خلاصه کردن محدودیت نرخ می‌تواند با مقابله با حملات از آدرس آ‌ی‌پی‌های مختلف و استفاده از شرایط و ارسال درخواست‌های همزمان عبور کند.

ماتیا همچنین ویدئویی از حمله منتشر کرد که استفاده از این نقص هنگام هک حساب کاربری اینستاگرام به کمک ۲۰۰ هزار ترکیب رمزعبور مختلف بدون مسدود شدن را نشان می‌داد. لاکشمن ماتیا به عنوان بخشی از برنامه جایزه ۳۰ هزار دلاری دریافت کرد.

مرجع: افتانا

100%
Awesome
  • Criteria

ارسال یک پاسخ

آدرس ایمیل شما منتشر نخواهد شد.