مراقب باشید! سرویس اشتراک عکس فیس بوک به تازگی یک آسیب پذیری بحرانی را patch کرده که میتواند به هرکرها اجازه دهد هر حساب کاربری را که میخواهند بدون اطلاع کاربر به دست بگیرند.

در بین شبکه های اجتماعی معروف آسیب پذیری های بسیاری وجود دارد که بعضی از آنها patch شده برخی در حال patch میباشند و بسیاری از آنها patch نشده اند.

اینستاگرام هم از این قاعده مستثنی نیست و به تازگی خبر رسیده است که هکر از راه دور میتواند کنترل کامل حساب کاربری افراد را به دست بگیرد.

این آسیب پذیری مربوط به مکانیزم بازیابی کلمه عبور در نسخه موبایل میباشد. و Laxman Muthiyah که یک محقق امنیت  میباشد آن را کشف کرده است.

در اینستاگرام ، کاربران باید یک کد ۶ رقمی که به شماره موبایلشان ارسال میشود را تایید کنند.

بدین معنی که چند میلیون ترکیب میتواند باعث بروز حمله brute force شود، اما به این سادگی ها هم نیست زیرا اینستاگرام از مکانیزم rate limit برای جلوگیری از این نوع حملات استفاده میکند.

نشان داده شده که هکر میتواند مکانیزم rate limit را دور بزند بدین ترتیب که از آی پی های مختلف میتواند حمله brute force را انجام دهد و یک نوع شرایط مسابقه را ایجاد کند به نوعی که میتواند درخواست جاری را با پردازش های ارسال کند.

” در یک حمله واقعی میتوانید با چیزی حدود ۵۰۰۰ آدرس آی پی یک حساب کاربری اینستاگرام را هک کنید. به نظر زیاد میرسد اما توسط سرویس هایی مانند گوگل و آمازون این کار حدود ۱۵۰ دلار برایتان هزینه خواهد داشت.

در حال حاظر اینساگرام این آسیب پذیری حیاتی را patch کرده و به Laxman Muthiyah 30000 دلار جایزه داده است!

برای جلوگیری از وقوع همچین حملاتی پیشنهاد میشود که در تمامی حساب های کاربری خود گزینه two factor authentication را فعال کنید.

علیرضا خبیر

مشاور و مدرس تست نفوذ و امنیت شبکه‌های اداری و صنعتی

بخش آموزش های سایت