В Instagram найден очередной баг, позволяющий взламывать аккаунты

В Instagram найден очередной баг, позволяющий взламывать аккаунты

Индийский исследователь Лаксман Матия получил от Facebook $10 000 за обнаружение очередной критической уязвимости, которой могли воспользоваться киберпреступники для взлома Instagram-аккаунтов.

Матия нашёл брешь в процессе анализа системы восстановления паролей для мобильных устройств. Напомним, что для восстановления учетных данных пользователь должен в течение 10 минут ввести шестизначный код, который высылают ему на смартфон.

Несмотря на то, что разработчики Instagram приняли защитные меры, чтобы предотвратить брутфорс этого кода, Матия нашёл способ провести атаку.

Эксперт выяснил, что идентификатор, генерируемый приложением Instagram для каждого устройства случайным образом, включён в запрос на восстановление пароля. Этот ID устройства используется для проверки шестизначного кода.

Исследователь обратил внимание, что один идентификатор можно использовать в процессе запроса кодов восстановления для множества аккаунтов. Это значит, что при достаточном количестве запросов злоумышленник мог бы вычислить корректный код восстановления.

«Существует миллион комбинаций такого шестизначного кода (от 000001 до 999999). Когда мы запрашиваем код для нескольких пользователей, мы увеличиваем шансы успешного взлома учетной записи», — объясняет Матия.

«Для примера: если вы отправите запрос кода для ста тысяч пользователей, используя один идентификатор, у вас будет 10-процентная вероятность взлома. А если мы запросим коды восстановления для миллиона юзеров, мы сможем скомпрометировать аккаунты со 100% вероятностью».

Facebook согласился с тем, что уязвимость явилась следствием недостаточно защищённого механизма восстановления пароля. Интернет-гигант выплатил Матия десять тысяч долларов.

Напомним, что на днях киберпреступники запустили новую фишинговую кампанию, на этот раз под прицелом пользователи социальной сети Instagram. При этом злоумышленники используют не только фейковые поля ввода логина и пароля, но и задействуют в схеме коды двухфакторной аутентификации (2FA).

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Microsoft Edge и Яндекс.Браузер предлагают наихудшую конфиденциальность

Microsoft Edge и Яндекс.Браузер проигрывают своим конкурентам по части обеспечения конфиденциальности. Brave, Chrome, Firefox и Safari предлагают более разумный подход. Такого мнения придерживается профессор Дуглас Лит из Тринити-колледжа, расположенного в Дублине.

Лит опубликовал специальный отчёт, рассказывающий о результатах его исследования относительно сетевой активности шести наиболее популярных интернет-обозревателей: Google Chrome, Mozilla Firefox, Apple Safari, Brave, Microsoft Edge и Яндекс.Браузер.

Используя настройки, предлагаемые программами по умолчанию, специалист проанализировал отправляемые при первом запуске браузера данные, а также передаваемую информацию при вставке URL в адресную строку, сравнив процесс с вводом веб-адреса вручную.

После этого Лит фиксировал активность браузеров, оставленных в состоянии бездействия на 24 часа. Интересно, что все тесты профессор проводил на компьютере с macOS (установив туда даже Edge).

«Мы выяснили, что браузеры делятся на три категории относительно подхода к конфиденциальности. В первой категории (обеспечивающей наилучшую приватность веб-сёрфинга) оказался Brave, во второй — Chrome, Firefox и Safari, а худшие результаты выдали Edge и Яндекс.Браузер», — пишет в отчёте (PDF) Лит.

По словам исследователя, как Edge, так и Яндекс.Браузер используют аппаратные идентификаторы. Поскольку такие ID привязаны к физическим компонентам устройства, их не так просто поменять.

А вот у Chrome и Firefox другой подход — эти браузеры генерируют идентификаторы в виде случайного набора чисел при первом запуске.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru