Wetter
Fotofilter-App: Sicherheitslücke bei Instagram
Ein Cookie ist die Schwachstelle: Die iPhone-App Instagram kommuniziert nach Angaben eines Sicherheitsexperten zum Teil unverschlüsselt mit dem Instagram-Server. Angreifern könnte es so gelingen, Accounts zu kapern.
Instagram-Seite auf Facebook: IT-Experte will Accounts übernehmen können
Zum Verändern eines Fotos braucht Instagram nur einen Augenblick - geht es jedoch um die Software selbst, ist das Unternehmen anscheinend langsamer. Bereits einen Tag, nachdem er eine Sicherheitslücke entdeckte, habe er Instagram kontaktiert, schreibt der Sicherheitsexperte Carlos Reventlov auf seiner Website. Als nach zehn Tagen jedoch nicht mehr als eine automatische Antwort zurückgekommen war, entschied er, seine Erkenntnisse öffentlich zu machen. Am Freitag ergänzte er sie mit einem zweiten Posting.
Beide Artikel betreffen die derzeit aktuelle Instagram-Version fürs iPhone: Nach Erkenntnissen Reventlovs besteht die Gefahr des Account-Hijackings. Ein Angreifer, der sich im gleichen lokalen Netzwerk befindet, soll die Möglichkeit haben, sich Zugriff auf die Accounts anderer Nutzer zu verschaffen. Die App-Schwachstelle besteht laut Reventlov darin, dass sie teilweise unverschlüsselt über HTTP mit dem Instagram-Server kommuniziert, etwa, wenn der Nutzer bei Bildern ein "Gefällt mir" hinterlässt. Wird dieser Netzverkehr per ARP-Spoofing belauscht, könne es dem Angreifer gelingen, den Session-Cookie mitzulesen.
Mithilfe dieser Information und eines Browser-Plugin könne er sich anschließend auf instagram.com einloggen. Ändert der Cookie-Dieb dort das Passwort des Nutzers, ist auch eine Anmeldung über die App möglich - dort hätte der Angreifer dann zum Beispiel Zugriff auf die bisher gemachten Fotos. Ebenso könnte er eigene Aufnahmen veröffentlichen: Falls die App mit den Netzwerken verknüpft ist, sogar auf Facebook oder Twitter. Reventlov bietet auf seiner Seite mittlerweile eine Software an, die das Cookie-Stehlen vereinfacht.
Zum Beheben der Sicherheitslücke rät der Sicherheitsexperte Instagram unter anderem, alle API-Anfragen, die sensible Daten enthalten, nur über HTTPS abzuwickeln. Von den App-Entwicklern, deren Firma seit dem Frühjahr zu Facebook gehört, gibt es bislang keine Stellungnahme zu den Vorwürfen. Mit über 100 Millionen Nutzern zählt Instagram zu den weltweit beliebtesten Smartphones-Apps.
mbö
Auf anderen Social Networks teilen
HilfeLassen Sie sich mit kostenlosen Diensten auf dem Laufenden halten:
© SPIEGEL ONLINE 2012
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH
- Markus Böhm schreibt von München aus am liebsten über Medien und die Menschen dahinter. Als "Kioskforscher" setzt er sich voller ungesunder Begeisterung bloggend mit Zeitschriften auseinander.
Natalie Stosiek
Über diesen Account erreichen Sie das Ressort und verpassen keinen Artikel.
- Christian Stöcker:
Spielmacher
Gespräche mit Pionieren der Gamesbranche.
Mit Dan Houser ("Grand Theft Auto"), Ken Levine ("Bioshock"), Sid Meier ("Civilization"), Hideo Kojima ("Metal Gear Solid") u.v.A.Kindle Edition: 1,99 Euro.
- Einfach und bequem: Direkt bei Amazon bestellen.
MEHR AUS DEM RESSORT NETZWELT
-
Best of Web
Netz-Fundstücke: Was Sie im Internet unbedingt sehen müssen
-
Silberscheiben
Das lohnt sich: Die besten CD- und DVD-Schnäppchen
-
Bilderwelten
Bessere Fotos: So holen Sie ganz einfach mehr aus Ihren Bildern raus
-
Angefasst
Gadget-Check: Handys und anderes Spielzeug in Matthias Kremps Praxistest
-
Angespielt
Game-Tipps: Spiele für Computer und Konsole im SPIEGEL-ONLINE-Test
