Fotofilter-App Sicherheitslücke bei Instagram

Ein Cookie ist die Schwachstelle: Die iPhone-App Instagram kommuniziert nach Angaben eines Sicherheitsexperten zum Teil unverschlüsselt mit dem Instagram-Server. Angreifern könnte es so gelingen, Accounts zu kapern.

Instagram-Seite auf Facebook: IT-Experte will Accounts übernehmen können
AFP

Instagram-Seite auf Facebook: IT-Experte will Accounts übernehmen können


Zum Verändern eines Fotos braucht Instagram nur einen Augenblick - geht es jedoch um die Software selbst, ist das Unternehmen anscheinend langsamer. Bereits einen Tag, nachdem er eine Sicherheitslücke entdeckte, habe er Instagram kontaktiert, schreibt der Sicherheitsexperte Carlos Reventlov auf seiner Website. Als nach zehn Tagen jedoch nicht mehr als eine automatische Antwort zurückgekommen war, entschied er, seine Erkenntnisse öffentlich zu machen. Am Freitag ergänzte er sie mit einem zweiten Posting.

Beide Artikel betreffen die derzeit aktuelle Instagram-Version fürs iPhone: Nach Erkenntnissen Reventlovs besteht die Gefahr des Account-Hijackings. Ein Angreifer, der sich im gleichen lokalen Netzwerk befindet, soll die Möglichkeit haben, sich Zugriff auf die Accounts anderer Nutzer zu verschaffen. Die App-Schwachstelle besteht laut Reventlov darin, dass sie teilweise unverschlüsselt über HTTP mit dem Instagram-Server kommuniziert, etwa, wenn der Nutzer bei Bildern ein "Gefällt mir" hinterlässt. Wird dieser Netzverkehr per ARP-Spoofing belauscht, könne es dem Angreifer gelingen, den Session-Cookie mitzulesen.

Mithilfe dieser Information und eines Browser-Plugin könne er sich anschließend auf instagram.com einloggen. Ändert der Cookie-Dieb dort das Passwort des Nutzers, ist auch eine Anmeldung über die App möglich - dort hätte der Angreifer dann zum Beispiel Zugriff auf die bisher gemachten Fotos. Ebenso könnte er eigene Aufnahmen veröffentlichen: Falls die App mit den Netzwerken verknüpft ist, sogar auf Facebook oder Twitter. Reventlov bietet auf seiner Seite mittlerweile eine Software an, die das Cookie-Stehlen vereinfacht.

Zum Beheben der Sicherheitslücke rät der Sicherheitsexperte Instagram unter anderem, alle API-Anfragen, die sensible Daten enthalten, nur über HTTPS abzuwickeln. Von den App-Entwicklern, deren Firma seit dem Frühjahr zu Facebook gehört, gibt es bislang keine Stellungnahme zu den Vorwürfen. Mit über 100 Millionen Nutzern zählt Instagram zu den weltweit beliebtesten Smartphones-Apps.

mbö

Mehr zum Thema


Forum - Diskutieren Sie über diesen Artikel
insgesamt 1 Beitrag
Alle Kommentare öffnen
Seite 1
clemens.mast 04.12.2012
1. Naja
Instagram! Erstens benötigt man im Normalfall das Passwort für eine Passwortänderung. Und wer interessiert sich denn für Instagram?! Viel schlimmer ist doch, dass sogar Facebook unverschlüsselt überträgt. Das finde ich wesentlich gefährlicher als bei so einer Instagram-App...
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2012
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.