1. עמוד הבית
  2. מחשבים ואינטרנט
  3. טכנולוגיה

באג ב-Instagram מאפשר השתלטות על החשבון האישי

באמצעות ריבוי כתובות IP, ניתן לנחש את קוד השיחזור של חשבון נבחר וכך להשתלט עליו - כך גילה חוקר אבטחת מידע בשם לקסמן מותי'אה (Laxman Muthiyah) אשר צד אחר באגים

אלי שלזינגר, י"ג תמוז תשע"ט 16/07/2019 15:05

זהירות אינסטגרם אינסטגרם צילום: unsplash

באג מדאיג קיים ב-Instagram (אינסטגרם) אשר באמצעותו ניתן להשתלט על חשבון של מישהו אחר באמצעות הפעלת איפוס סיסמה, בקשת קוד שיחזור וניסיון מהיר של כל קוד שיחזור אפשרי כנגד החשבון התגלה על ידי חוקר אבטחת המידע לקסמן מותי'אה (Laxman Muthiyah) אשר צד אחר באגים.

מהבדיקות שערך החוקר, עלה כי ניתן לנסות כ-200 קודים שונים של שחזור סיסמה לפני שנחסמים ושרתי אינסטגרם לא יאפשרו ניחושים נוספים. קוד השיחזור הינו בעל שש ספרות, כך שקיימים מיליון צירופים אפשריים. קוד השיחזור נבחר באופן אקראי, כך שכל קוד אפשרי ולא ניתן לבחור צירופים פופולאריים כדי לנסות אותם בניסיונות הראשונים. בעת ניחוש הקוד, יש צורך לעבוד מהר ולא ניתן לקחת את הזמן, זאת בגלל שכל קוד תקף ל-10 דקות בלבד.

גם אם לא היתה מגבלה של 200 קודים שניתן לנסות לפני חסימה, ב-10 דקות ניתן להזין 1000 אפשרויות מתוך כ-1,000,000 והקוד יפוג תוקף.

החוקר תהה האם החסימה היא למספר ניסיונות לאותו החשבון, או למספר הניסיונות מאותו המחשב, כלומר, אם היו לו 201 מחשבים שונים עם מספרי IP שונים וכל מחשב עשה ניסיון אחד, מה יגרום לחסימת הניסיון ה-200? או, אם היו לו 201 מחשבים וכל אחד מהם מנסה 200 צירופים, האם זה שווה ל-40,200 ניחושים שונים? בכדי לענות על השאלות, הוא ניסה עם 1,000 כתובות IP שונות והצליח לבצע 200,000 ניחושים מבלי להיחסם.

כשמעבירים זאת למספרים גדולים יותר, כל מי שיהיה בעל 5,000 כתובות IP יוכל לנסות מיליון צירופים של קודים ב-10 דקות וכך בוודאות לנחש את הקוד הנכון. החוקר מעריך כי ניתן לבצע מתקפה שכזו באמצעות שירותי ענן של אמזון או גוגל בעלות של כ-150$, ואמנם לא ניתן לפרוץ כך את כל החשבונות, אבל באופן יחסי ניתן לפרוץ חשבון אינסטגרם של מישהו שנבחר בצורה קלה וזולה.

פייסבוק הסכימו כי אכן מדובר ביותר מאשר סיכון תיאורטי ואף שילמו לחוקר כ-30,000$ וטיפלו בנושא ככל הנראה באמצעות הגבלת קצב השימוש בקודים של שיחזור על בסיס חשבון מותקף ולא על ניסיונות ניחוש של צד אחר.

"חשוב שכל מה שקשור לשחזור סיסמה, יוגדר דרך אימות דו שלבי בטלפון ודרך כתובת מייל חלופית. במידה שהחשבון שלנו ייפרץ באמצעות באגים שעדיין אינם מוכרים ומנוצלים ע"י עבריינים זה יוכל לעזור לביטחון החשבון" מציין אמיר כרמי, מנהל טכנולוגיות בחברת אבטחת המידע ESET בישראל. "כמובן במקרה שבו אנו מקבלים התראות במייל או בטלפון על נסיונות התחברות לחשבון שלנו שלא ביצענו או קוד שחזור שלא ביקשנו, חשוב לדווח על כך לחברה המפעילה את השירות".

במקרה של עבריינים, בדרך כלל הם לא ישתמשו בשירותי ענן של אמאזון או גוגל כדי לפרוץ לחשבונות, אלא ינצלו רשתות בוטנט של מחשבים נגועים בתוכנות זדוניות, שניתן להנחות אותם לבצע פעולות מכל מקום ובכל זמן. גם אם אין רשת כזו בבעלותם, ניתן לשכור רשתות בוטנט במחירים נמוכים משמעותית וכך לפרוץ חשבונות רבים יותר ובמחיר נמוך יותר. לדברי כרמי, "בדרך כלל כאשר מדובר בבאג או פירצה שנמכרים בפורומים של האקרים, ניתן לרכוש אותו כאשר כבר הוא כולל קוד מוכן להטמעה וניצול בפועל, וכל מה שנדרש הוא מספר הגדרות פשוטות ליישום, כך שלא רק האקרים מקצועיים יכולים להשתמש בהם".





הוסף תגובה

תגובות

אין לשלוח תגובה הכוללות דברי הסתה, דיבה וסגנון החורג מהטעם הטוב.