Utvikler viser hvor enkelt det er å ta over en Instagram-konto.
For noen år siden fikk vi Firesheep, en utvidelse i nettleseren som viste hvor enkelt det var å ta over en Facebook-konto. En utvikler fra London har nå beskrevet hvor enkelt det er å ta over en Instagram-konto, en metode han selv kaller Instasheep.
Begge metodene utnytter mangel på kryptering mellom brukeren og tjenesten. Kryptering er forskjellen mellom HTTP og HTTPS, den siste S-en står for “secure” og betyr at tilkoblingen er kryptert og ingen andre enn sender og mottaker kan lese informasjonen.
Instasheep er rettet mot Instagram-applikasjonen i Android og iOS og fanger opp sesjonsnøkkelen som brukeren sender til tjenesten for å autentisere seg. Det som skjer er at du først logger inn med brukernavn og passord, dette er kryptert. Deretter får du en sesjonsnøkkel som du senere kan bruke for å bevise hvem du er. Siden denne verdien beviser hvem du er, så må du hele tiden sende den tilbake til serveren, i dette tilfellet, sendes den ukryptert.
Ved å fange opp denne nøkkelen kan en angriper få midlertidig tilgang til kontoen. Sesjonsnøkkelen varer ikke evig og den gjelder kun for én tjeneste, så den er ikke like sensitiv som passordet ditt. En angriper kan likevel få tak i dine private meldinger og utgi seg for å være deg.
Slike angrep er absolutt ikke nytt og dette er en av grunnene til at vi anbefaler å sjekke om nettsiden bruker HTTPS. Dette er likevel nok et eksempel på at sikkerheten svikter, spesielt for mobilapplikasjoner. Hvis man bruker et trådløst nettverk som andre har tilgang til, da er dette angrepet veldig enkelt å utføre.
Oppmerksomheten rundt Firesheep førte til at Facebook og Twitter, blant andre, startet å bruke HTTPS for all kommunikasjon til deres tjenester. I følge Facebook, som også eier Instagram, jobber de med å utvide bruken av HTTPS for Instagram også.
Hovedgrunnen til å ikke bruke HTTPS er at det tar opp ressurser. For tjenester som har høy trafikk kan dette skape store problemer.
NorSIS anbefaler
Vær forsiktig med å bruke åpne trådløse nettverk. Ved bruk av slike nettverk er det spesielt viktig at kommunikasjonen krypteres, enten ved bruk av HTTPS eller ved bruk av VPN. Bruk av Instagram fra nettleseren er ikke påvirket av dette, så det er også et alternativ.
Hvis du har trådløst nettverk hjemme, sørg for at du krypterer det med WPA/WPA2, WEP er ikke sikker og bør ikke brukes.
Les mer
Om saken hos arstechnica.com.
Om saken hos theregister.co.uk.