Ungesicherte Anmeldung
Instagram-App verrät Nutzerdaten
von
Robert
Schanze - 29.07.2014
Foto: Instagram
Angreifer können Instagram-Konten übernehmen, wenn Nutzer sich mit der Instagram-App in ihren Account einloggen. Ursache ist eine ungesicherte HTTP-Übertragung der Nutzerdaten.
Wer Instagram unterwegs per App nutzt, sollte aufpassen. Der Sicherheitsspezialist Mazin Ahmed hat auf seinem Blog dokumentiert, wie Instagram-Accounts leicht von Angreifern übernommen werden können.
Unverschlüsselte Daten: In der aufgezeichneten Datenübertragung findet sich Session-Cookies, Nutzername und die Nutzer-ID im Klartext.
(Quelle: mazinahmed1.blogspot.in)
Dazu hat Mazin Ahmed die WLAN-Datenübertragung zwischen seinem Smartphone und Instagram aufgezeichnet mit Hilfe der Software Wireshark. Daraufhin fand er in der Übertragung Session-Cookies, seinen Benutzernamen und seine Benutzer-ID, die nach dem Instagram-Login unverschlüsselt über das ungesichterte HTTP-Protokoll übertragen wurden.
Anschließend war es ihm mit diesen Daten möglich seinen eigenen Instagram-Account auf seinem PC zu übernehmen. Als er Facebook – den Inhaber von Instagram – auf die Sicherheitslücke hinwies, antwortete Facebook, dass dies bereits bekannt ist und "Facebook im Moment die Risiken der Datenübertragung über HTTP akzeptiert". Eine Lösung erfolge irgendwann in der Zukunft.
Angreifer, die auf dem von Mazin Ahmed beschriebenen Weg vorgehen, könnten Instagram-Accounts manipulieren oder löschen. Daher warnt der Sicherheitsspezialist davor die Instagram-App zu nutzen und empfiehlt sich über die normale Webseite einzuloggen, da Nutzerdaten dort verschlüsselt übertragen werden. Dies sollten Nutzer zumindest so lange tun, bis Facebook einen Patch für die Sicherheitslücke veröffentlicht.
