فیس‌بوک آسیب‌پذیری اینستاگرام را که یک میلیون حساب کاربری را در خطر می‌انداخت برطرف کرد

فیس‌بوک، مشکلی را که اوایل این ماه رخ داده بود و در طی آن یک مهاجم می‌توانست وارد چهار درصد از همه حساب‌های فعال و قفل‌شده (غیرفعال) اینستاگرام شود، برطرف کرد.این آسیب‌پذیری تقریباً بر روی یک میلیون کاربر تأثیر می‌گذاشت.
مشاور امنیت فناوری مقیم بلژیک به نام Arne Swinnen، دو هفته قبل این مشکل را تصادفاً کشف کرد که ترکیبی از دو حفره امنیتی یکی فقدان احراز هویت و دیگری آسیب‌پذیری مرجعِ مستقیم ناامن به شیء (Insecure Direct Object References) است. بر اساس گزارش منتشر شده در وبلاگ وی در روز جمعه، او گفت که فیس‌بوک این مشکل را در مدت ۲۴ ساعت حل کرده است.
این پژوهشگر تعدادی از حفره‌های مربوط به نرم‌افزار اشتراک گذاری عکس را در گذشته نیز شناسایی کرده است و این بار او تلاش کرد تا یک حساب کاربری آزمایشی را از طریق یک وب‌گاه خدماتی با توجه به مسیر URL آن امتحان کند. این صفحه به او این قابلیت را می‌داد تا حساب خود را به وسیله ارسال یک کد به رایانامه خود تأیید کند، اما این کار عجب و غریبی نبود- این آدرس اینترنتی بود که شامل شماره شناسایی کاربری او نیز می‌شد.
تا اینجا مشکلی نبود، تا اینکه این پژوه‌شگر بیشتر در اطراف این موضوع کنکاش کرد و شماره شناسایی را با شماره‌های دیگری جایگزین کرد تا اینکه متوجه فقدان احراز هویت در این سامانه گردید. با وارد کردن شماره‌های شناسایی صحیح، اینستاگرام به او اجازه می‌داد تا نشانی‌های رایانامه متصل به حساب‌های کاربری را که به صورت موقت قفل شده‌اند، تنظیم مجدد کند. او می‌توانست گذرواژه‌ها را دوباره تنظیم کند و دسترسی کامل به تعدادی از حساب‌ها برقرار کند که تقریبا شامل ٪۰.۱۷ از کاربران می‌شد.

با ادامه کاوش و تحقیق و وارد کردن شماره‌ شناسه‌ها، او قادر بود تا یک مرحله فراتر رود. یک امکان تأییدیه دیگری که این شرکت از آن استفاده می‌کند، می‌توانست به او شماره تلفن متصل به حساب کاربری را می‌دهد و حتی به او اجازه دهد که این شماره را تنظیم مجدد کند. با انجام این کار او می‌توانست اینستاگرام را وادار کند تا به او پیام کوتاهی ارسال کند تا با استفاده از آن گذر‌واژه شخص دیگری را تنظیم مجدد کند. با استخراج نتایج از این روش‌های اثبات مفهمومیِ آسیب‌پذیری، او مشخص کرد که در حدود ۴ درصد از همه حساب‌های موجود و فعال، که تقریباً یک میلیون مورد می‌شوند، در معرض این آسیب‌پذیری حالت قفل شده هستند.

این پژوهش‌گر در وبلاگ خود نوشت: «پس از موفقیت در ارتباط دادن به یک شماره جدید، یک مهاجم می‌توانست یک سناریو از نوع «تنظیم مجدد از طریق پیام کوتاه» را اجرا کند و کنترل کامل حساب کاربری را به دست گیرد. یک حفره‌ی امنیتی بزرگ؛ علاوه بر این، یک تأییدیه دستی سریع نشان می‌دهد که این حساب‌ها بیش‌تر حساب‌های افرادی هستند که برای چند هفته غیر فعال شده‌اند و تعدادی از آنها میزان زیادی دنبال کننده نیز در اینستاگرام دارند.»
فیس‌بوک این مشکل را با نیاز به احراز هویت در صفحات خود حل کرده است که به کاربران اجازه می‌دهد تا اطلاعات حساب کاربری خود را مانند نشانی‌های رایانامه و تلفن به‌روز‌رسانی کنند.
این پژوهش‌گر که برای شرکت امنیتی بلژیکی nViso کار می‌کند، موفقیت‌های چندی برای کشف حفره‌های امنیتی اینستاگرام به ویژه در سال گذشته داشته است. در سال ۲۰۱۵، از طریق ترکیب حملات مرد میانی، فیشینگ کلید امضاء و تجزیه APK، او قادر بوده است تا ده حفره را در زیرساخت اینستاگرام، رابط کاربری صفحه وب و رابط کاربری موبایل آن کشف کند.
برای کشف این حفره‌های خاص وی جایزه‌ای به مبلغ ۵۰۰۰ دلار دریافت کرده است و توسط این شرکت در فهرست محققانی که گزارش‌های امنیت معتبر را در سال می‌فرستند، از او تجلیل شده است.
تجلیل از این پژوهش‌گر در حالی صورت گرفته است که وسلی وینبرگ (Wesley Wineberg)، پژوهش‌گر دیگری که در همان زمان یک کارمند قراردادی بوده است، اکنون مهندس تحقیقات امنیتی ارشد در شرکت Synack است، تعدادی از نقاط ضعف را در دسامبر گذشته در اینستاگرام یافته بود، که برخی از آنها به او دسترسی کامل به کدهای منبع، امضاهای SSL و کلیدهای خصوصی را می‌داد. اقدامات و کارهای وینبرگ فوراً تبدیل به جنجال شد، و مدیر امنیت فیس‌بوک ادعا کرد که اقدامات وینبرگ بسیار فراتر از گزارش آسیب‌پذیری است و نوعی از نفوذ غیر اخلاقی تلقی می‌شود. شایان ذکر است که وینبرگ در نهایت همه داده‌هایی را که به آنها دسترسی داشت پاک کرده و یافته‌های خود را به صورت خصوصی نگه داشت.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.