Sicherheitslücke in der App Instagram

Instagram ist eine beliebte und kostenlose App für mobile Geräte mit den Betriebssystemen iOS- und Android, über die Nutzer Fotos bearbeiten und diese plattformübergreifend im Internet teilen können. Laut einem Blogbeitrag hat der Sicherheitsexperten Carlos Reventlov herausgefunden, dass die App Instagram 3.1.2 anfällig für Identitäts-Diebstahl ist. Der Datenaustausch mit dem Instagram-Server läuft nicht in allen Fällen über eine gesicherte HTTPS-Verbindung. Dadurch können Angreifer den Datenverkehr ausspionieren, Session-Cookies übernehmen und auf das Konto des Opfers zugreifen. Dann ist es möglich das Passwort zu ändern, sich selbst bei Instagram einzuloggen und sämtliche Dienste zu nutzen. Sofern der ursprüngliche Kontoinhaber seinen Account mit Facebook und Twitter verknüpft hat, können auch dort beliebige Bilder hochgeladen werden.

Der Sicherheitsexperte hat den Hersteller der App bereits am 11. November auf die Lücke hingewiesen. Ein persönliches Feedback blieb bisher jedoch aus. Neun Tage später machte er das Problem in seinem Blog publik und veröffentlichte Beispielcode für einen Angriff (Proof-of-Concept). Das Beispielprogramm ist in der Lage, die Instagram-Cookies aus dem Internet-Verkehr zu fischen und Nutzer-Fotos zu löschen. Der Instagram-Nutzer bemerkt davon zunächst nichts. Erst nach einem Neustart fällt dann auf, dass Fotos gelöscht wurden. Darüber hinaus lassen sich auch Fotos von Kontakten heruntergeladen.

Nach Ansicht von Carlos Reventlov bieten auch verschlüsselte öffentliche WLANs keinen ausreichenden Schutz. Über ARP-Spoofing kann ein Angreifer auch hier an die Konto-Daten gelangen. Bis es ein Instagram-Update gibt, sollten sicherheitsbewusste Nutzer außerhalb des heimischen Netzwerks daher besser die Datenverbindung über das Mobilfunknetz verwenden.