این نقص می تواند به مهاجمان اجازه دهد تا هر حساب کاربری در اینستاگرام را در مدت ۱۰ دقیقه هک کنند.

مراقب باشید! سرویس اشتراک گذاری عکس متعلق به فیس بوک به تازگی یک آسیب پذیری بحرانی را رفع کرده است که می تواند به هکرها اجازه دهد تا هر حساب کاربری اینستاگرام را بدون نیاز به هر گونه تعامل با کاربران هدف در معرض خطر قرار دهند.

اینستاگرام به سرعت در حال رشد است و به محبوب ترین شبکه اجتماعی رسانه ای در جهان پس از فیس بوک تبدیل شده است.

با وجود داشتن مکانیزم های امنیتی پیشرفته، پلتفرم های بزرگ مانند فیس بوک، گوگل، LinkedIn و اینستاگرام کاملا نسبت به حمله‌ی هکرها ایمن نیستند و دارای آسیب پذیری های شدیدی هستند.

برخی از این آسیب پذیری ها اخیرا رفع شده اند[۱]، برخی هنوز تحت بررسی هستند تا برطرف شوند و بسیاری دیگر نیز احتمالا وجود دارند، اما هنوز کشف نشده اند.

جزئیات یک آسیب پذیری بحرانی در اینستاگرام در تاریخ ۱۵ جولای ۲۰۱۹ در اینترنت منتشر شد که می تواند به یک مهاجم از راه دور اجازه دهد تا رمز عبورِ هر حساب کاربری در اینستاگرام را ریست کند و کنترل کامل آن را در اختیار گیرد.

این آسیب پذیری که توسط Laxman Muthiyah که یک bug bounty hunter هندی است[۲]، کشف شده و مسئولانه گزارش شده است، در مکانیزم بازیابی رمز عبور اجرا شده توسط نسخه‌ی تلفن همراه اینستاگرام قرار دارد.

“ریست کردن کلمه عبور” یا “بازیابی کلمه عبور” یک ویژگی است که به کاربران اجازه می دهد تا دسترسی به حساب کاربری خود را روی یک وب سایت دوباره کسب کنند در صورتی که کلمه عبور خود را فراموش کرده باشند.

در اینستاگرام، کاربران باید یک کد مخفی شش رقمی (که بعد از ۱۰ دقیقه منقضی می شود) را که به شماره تلفن همراه یا حساب ایمیل آنها ارسال می شود را تأیید کنند تا هویت خود را ثابت کنند.

این بدین معنی است که یک ترکیب از یک میلیون ترکیب می تواند هر حساب کاربری در اینستاگرام را با استفاده از حمله brute force باز کند، اما این به همین اندازه ساده نیست زیرا اینستاگرام برای کاهش چنین حملاتی گزینه rate-limiting را فعال کرده است.

با این حال، Laxman دریافته است که این محدودیت را می توان از طریق ارسال درخواست های brute force از آدرس های مختلف IP و استفاده از race condition یعنی درخواست همزمان برای پردازش چندین تلاش به طور همزمان، دور زد.

Laxman به The Hacker News در این باره گفته است: “Race hazard (تقاضای همزمان) و تعویض IP به من اجازه دادند که آن را دور بزنم؛ در غیر این صورت امکان پذیر نخواهد بود. زمان انقضای ۱۰ دقیقه ای کلید مکانیسم محدود کردن نرخ آنهاست، به همین دلیل آنها مسدود کردن دائمی کدها را اجرا نکردند.”

همانطور که در این ویدیو[۳] نشان داده شده است، Laxman با موفقیت نشان داد که بهره برداری از این آسیب پذیری منجر به ربودن یک حساب کاربری اینستاگرام با تلاش ۲۰۰،۰۰۰ ترکیب مختلف رمز عبور (۲۰ درصد از کل) و بدون مسدود شدن می شود.

“در یک سناریوی حمله واقعی، یک مهاجم به ۵۰۰۰ عدد IP برای هک کردن یک حساب کاربری نیاز دارد. این تعداد به نظر می رسد بزرگ است، اما اگر شما از یک ارائه دهنده خدمات ابر مانند آمازون یا گوگل استفاده کنید، هزینه آن حدود ۱۵۰ دلار برای انجام حمله کامل به منظور امتحان کردن یک میلیون رمز عبور است.”

Laxman همچنین یک بهره بردار اثبات ادعا را برای این آسیب پذیری منتشر کرده است که اکنون توسط اینستاگرام وصله شده است و این شرکت پاداشی ۳۰،۰۰۰ دلاری به عنوان بخشی از برنامه bug bounty خود [۴]، به Laxman اعطا کرده است.

برای محافظت از حساب های خود در برابر انواع مختلف از حملات آنلاین و همچنین کاهش احتمال در معرض حمله مهاجمان قرار گرفتن، به کاربران شدیدا توصیه می شود تا “احراز هویت دو مرحله‌ای” را فعال کنند[۵]، که اگر آنها به نوعی موفق به سرقت کلمه عبور شما شوند، می تواند از دسترسی هکرها به حساب های شما جلوگیری کند.

منابع

[۱] https://thehackernews.com/2019/04/instagram-password-plaintext.html

[۲] https://thezerohack.com/hack-any-instagram

[۳] https://www.facebook.com/whitehat

[۴] https://youtu.be/4O9FjTMlHUM

[۵] https://thehackernews.com/2016/02/hack-instagram-account.html

[۶] https://thehackernews.com/2019/07/hack-instagram-accounts.html