Usando sistemas blade para reduzir custos e aprimorar a eficiência
Desenvolvedor Londres Stevie Graham construiu um ladrão Instagram apelidado Instasheep que pode seqüestrar contas através de redes públicas.
Graham ( @ stevegraham ) publicou Instasheep - um jogo no 2010 Facebook ladrão Firesheep - depois de afirmar Facebook se recusou a pagar uma recompensa de bug para seus defeitos relatados que afetam o aplicativo Instagram iOS.
Facebook teria sido consciente do erro e estava trabalhando em uma correção por meio da implantação HTTPS em todo seu portfólio.
O dev encontrado um cookie de sessão passado de volta para a aplicação poderiam ser roubadas por hackers que residem na rede da vítima que daria acesso a contas do Instagram.
Negado recompensa bug. O próximo passo é escrever ferramenta automatizada que permite o seqüestro em massa de contas. Vuln muito sério, FB. por favor corrigir.
- Stevie Graham (@ stevegraham) 27 julho de 2014
"Eu acho que esse ataque é extremamente grave, pois permite hijack sessão completa e é facilmente automatizado", escreveu Graham no post Github que contém a ferramenta.
"Eu poderia ir para a loja da Apple amanhã e colher milhares de contas em um dia, e então usá-los para enviar spam."
Ele escreveu em YCombinator que a equipe de segurança do Facebook disse que a falha foi relatada anteriormente e que Instagram foi implantando HTTPS "para todos os parâmetros". Menlo Park teria notado que a necessidade de atacar via man-in-the-middle em redes públicas fez o ataque difícil para a maioria dos apostadores, uma alegação que ele rejeitou.
"Eu não concordo a barreira de explorar é alta. Só é preciso uma pessoa suficientemente qualificada para liberar uma ferramenta tão simples, mesmo um script kiddie pode usá-lo. Nesse momento a Caixa de Pandora foi explodido."
Facebook reconheceu a falha acrescentando que estava trabalhando na implantação de HTTPS.
Instagram foi implantando HTTPS toda a sua rede, incluindo Instagram direto lançado no final do ano passado.
Endpoints leitura sensíveis à latência, como a principal alimentação Instagram seria golpeado com HTTPS como problemas de desempenho foram abordados.
Rapidez é um dos ursos de bugs com as implantações HTTPS. Em 2012, moderno bazar Etsy detalhou os problemas que encontrou, pois implantado HTTPS, HTTP Strict autenticação de dois fatores, incluindo uma "explosão emocionante" de erros de Segurança dos Transportes e. ®
Nenhum comentário:
Postar um comentário