Fotofilter-App: Sicherheitslücke bei Instagram

Ein Cookie ist die Schwachstelle: Die iPhone-App Instagram kommuniziert nach Angaben eines Sicherheitsexperten zum Teil unverschlüsselt mit dem Instagram-Server. Angreifern könnte es so gelingen, Accounts zu kapern.

Instagram-Seite auf Facebook: IT-Experte will Accounts übernehmen können Zur Großansicht
AFP

Instagram-Seite auf Facebook: IT-Experte will Accounts übernehmen können

Zum Verändern eines Fotos braucht Instagram nur einen Augenblick - geht es jedoch um die Software selbst, ist das Unternehmen anscheinend langsamer. Bereits einen Tag, nachdem er eine Sicherheitslücke entdeckte, habe er Instagram kontaktiert, schreibt der Sicherheitsexperte Carlos Reventlov auf seiner Website. Als nach zehn Tagen jedoch nicht mehr als eine automatische Antwort zurückgekommen war, entschied er, seine Erkenntnisse öffentlich zu machen. Am Freitag ergänzte er sie mit einem zweiten Posting.

Beide Artikel betreffen die derzeit aktuelle Instagram-Version fürs iPhone: Nach Erkenntnissen Reventlovs besteht die Gefahr des Account-Hijackings. Ein Angreifer, der sich im gleichen lokalen Netzwerk befindet, soll die Möglichkeit haben, sich Zugriff auf die Accounts anderer Nutzer zu verschaffen. Die App-Schwachstelle besteht laut Reventlov darin, dass sie teilweise unverschlüsselt über HTTP mit dem Instagram-Server kommuniziert, etwa, wenn der Nutzer bei Bildern ein "Gefällt mir" hinterlässt. Wird dieser Netzverkehr per ARP-Spoofing belauscht, könne es dem Angreifer gelingen, den Session-Cookie mitzulesen.

Mithilfe dieser Information und eines Browser-Plugin könne er sich anschließend auf instagram.com einloggen. Ändert der Cookie-Dieb dort das Passwort des Nutzers, ist auch eine Anmeldung über die App möglich - dort hätte der Angreifer dann zum Beispiel Zugriff auf die bisher gemachten Fotos. Ebenso könnte er eigene Aufnahmen veröffentlichen: Falls die App mit den Netzwerken verknüpft ist, sogar auf Facebook oder Twitter. Reventlov bietet auf seiner Seite mittlerweile eine Software an, die das Cookie-Stehlen vereinfacht.

Zum Beheben der Sicherheitslücke rät der Sicherheitsexperte Instagram unter anderem, alle API-Anfragen, die sensible Daten enthalten, nur über HTTPS abzuwickeln. Von den App-Entwicklern, deren Firma seit dem Frühjahr zu Facebook gehört, gibt es bislang keine Stellungnahme zu den Vorwürfen. Mit über 100 Millionen Nutzern zählt Instagram zu den weltweit beliebtesten Smartphones-Apps.

mbö

Diesen Artikel...
Aus Datenschutzgründen wird Ihre IP-Adresse nur dann gespeichert, wenn Sie angemeldeter und eingeloggter Facebook-Nutzer sind. Wenn Sie mehr zum Thema Datenschutz wissen wollen, klicken Sie auf das i.

Auf anderen Social Networks teilen

  • Xing
  • LinkedIn
  • Tumblr
  • studiVZ meinVZ schülerVZ
  • deli.cio.us
  • Digg
  • reddit
Forum - Diskutieren Sie über diesen Artikel
insgesamt 1 Beitrag
Alle Kommentare öffnen
    Seite 1    
1. Naja
clemens.mast 04.12.2012
Instagram! Erstens benötigt man im Normalfall das Passwort für eine Passwortänderung. Und wer interessiert sich denn für Instagram?! Viel schlimmer ist doch, dass sogar Facebook unverschlüsselt überträgt. Das finde ich wesentlich gefährlicher als bei so einer Instagram-App...
Alle Kommentare öffnen
    Seite 1    
News verfolgen

HilfeLassen Sie sich mit kostenlosen Diensten auf dem Laufenden halten:

alles aus der Rubrik Netzwelt
Twitter | RSS
alles aus der Rubrik Web
RSS
alles zum Thema Digitalfotografie
RSS

© SPIEGEL ONLINE 2012
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH

SPIEGEL ONLINE Schließen


  • Drucken Versenden
  • Nutzungsrechte Feedback
  • Kommentieren | 1 Kommentar
  • Zur Startseite
Zum Autor
  • Natalie Stosiek
    Markus Böhm schreibt von München aus am liebsten über Medien und die Menschen dahinter. Als "Kioskforscher" setzt er sich voller ungesunder Begeisterung bloggend mit Zeitschriften auseinander.

Netzwelt auf Twitter

Über diesen Account erreichen Sie das Ressort und verpassen keinen Artikel.



E-Book-Tipp
  • Christian Stöcker:
    Spielmacher
    Gespräche mit Pionieren der Gamesbranche.

    Mit Dan Houser ("Grand Theft Auto"), Ken Levine ("Bioshock"), Sid Meier ("Civilization"), Hideo Kojima ("Metal Gear Solid") u.v.A.

    Kindle Edition: 1,99 Euro.

  • Einfach und bequem: Direkt bei Amazon bestellen.