terça-feira, 29 de julho de 2014

Instagram: Bug de segurança com 2 anos ainda por resolver?

A utilização de redes sem fios públicas obrigam a algumas medidas de segurança adicionais que possam garantir a protecção dos nossos dados.
Muitas das empresas que criam aplicações garantem à partida algumas dessas medidas, garantido que os utilizadores não ficam expostos a ataques e a roubo de dados.
Mas algo que não se esperaria é que o Instagram tivesse um bug com mais de 2 anos e que o Facebook ainda não o tenha resolvido.
instagram_1

O problema não é novo e já em 2012 tinha sido apresentado por vários investigadores de segurança. Mas voltou a ser reportado, desta vez pelo investigador Mazin Ahmed, e foi mais uma vez provado que é possível fazer um ataque Men In The Middle e alterar o trafego que circula de e para o Instagram.
Este problema afecta apenas a versão Android do Instagram e advém de uma falha de segurança na comunicação entre o cliente e os servidores do Instagram.
Ao contrário do que seria de esperar toda essa comunicação está a ser feita de forma não segura, usando o HTTP, em vez do que seria esperado, HTTPS.
I started using the app on my phone, and monitoring the traffic in the network using WireShark, looking for evidence for unencrypted data that goes through the network or a technique to make this data unencrypted (if it was encrypted)
Ao usar esta protocolo de comunicação não seguro o cliente Android do Instagram está a permitir que seja possível interceptar o tráfego e que depois o mesmo possa ser alterado e a sessão do utilizador seja alterada.
instagram_2
Os dados que este último investigador de segurança provou serem possíveis de interceptar incluíam a fotografia que a vítima estava a ver, as cookies de sessão, o seu username e o seu ID
As soon as I logged into my account on my phone, Wireshark has captured unencrypted data that goes through HTTP. This data includes: The pictures that the victims watching, The victim’s session cookies, the victim’s username and ID.
O investigador que voltou a descobrir este problema reportou-o ao Facebook para que o mesmo pudesse ser tratado e resolvido, garantindo assim que a situação seria mitigada e que a segurança dos utilizadores fosse garantida.
O mais caricato e surpreendente desta situação foi a resposta do Facebook, que revelou um completo ignorar deste grave problema.
Segundo o Facebook estão cientes do problema e que num futuro próximo vão resolvê-lo. Quanto à falha da utilização do HTTP em detrimento do HTTPS, assumem o risco das comunicações não estarem a ser cifradas.
instagram_3
Seria esperado que após a aquisição do Instagram, em Abril de 2012, o Facebook tratasse de garantir os níveis de segurança que seriam esperados, mas a verdade é que o problema ainda se mantêm desde essa altura e sem uma data de resolução à vista.
O alerta fica dado, se usarem o Instagram em redes públicas podem estar a revelar muito mais do que pensam. É simples capturar o tráfego dos clientes para essa rede e roubar a sessão do utilizador.