skip to main | skip to sidebar
24 commenti

Instagram, account rubabili usando Wi-Fi pubblici

Questo articolo vi arriva grazie alla gentile donazione di “stefano@gr*”.

C'è una falla in Instagram che permette di rubare gli account di chi lo usa su una rete Wi-Fi pubblica: la correzione è stata promessa, ma non è ancora attiva, per cui fino a quel momento è meglio usare Instagram soltanto su reti Wi-Fi private (o che non possano ospitare aggressori) oppure tramite la trasmissione dati della rete cellulare.

Stando alla descrizione di questa falla, rubare un account Instagram via Wi-Fi è davvero semplice a causa di una scelta tecnica ottusa da parte di Facebook, a riprova dell'idea che noi utenti, per i gestori dei social network, siamo carne da cannone: della nostra sicurezza e della nostra privacy, a loro, non frega assolutamente nulla.

Il problema è stato segnalato a Facebook da uno sviluppatore londinese, Stevie Graham, che però si è sentito dire che non verrà ricompensato per la sua segnalazione responsabile, come invece è avvenuto in altri casi, perché la falla è già nota a Facebook. Per cui ha deciso di rendere pubblica la vulnerabilità, in modo da spingere finalmente Facebook (proprietaria di Instagram) a sistemarla invece di ignorarla.

La falla sta nel fatto che l'app di Instagram usa l'HTTP per buona parte del proprio scambio di dati: il nome dell'account e il relativo numero vengono scambiati senza cifratura, per esempio, e c'è un cookie che può essere intercettato per accedere a Instagram spacciandosi per l'utente senza doversi riautenticare, potendo quindi leggere i messaggi dell'utente e postare a suo nome.

La tecnica è questa: l'aggressore si collega alla stessa rete Wi-Fi usata dalla vittima. Non importa se la rete è cifrata (Graham specifica WEP) o aperta. Poi l'aggressore mette la propria interfaccia di rete in modalità promiscua, ascoltando tutto il traffico della rete Wi-Fi, e lo filtra alla ricerca di riferimenti a i.instagram.com. Quando la vittima si collega a Instagram su quella rete Wi-Fi, l'aggressore cattura il cookie che viene trasmesso e lo usa per sostituirsi alla vittima e controllare il suo account. Tutto qui.

I dettagli sono descritti in questo post di Graham: nei miei test fatti di corsa, tuttavia, non sono riuscito a replicare l'attacco sui miei account Instagram usando dispositivi iOS e Android su una mia rete Wi-Fi senza cifratura. Se qualcuno riesce a fare di meglio, lo segnali nei commenti.

L'attacco è molto simile al Firesheep di qualche anno fa, tanto che Graham l'ha battezzato Instasheep. Un attacco praticamente identico è descritto qui da Mazin Ahmed, che consiglia di evitare l'app e di usare invece il sito Web per accedere a Instagram da dispositivi mobili.

Resta valida la raccomandazione di sempre: qualunque cosa postiate su un social network, date per scontato che sia pubblica e intercettabile.
Invia un commento
I commenti non appaiono subito, devono essere tutti approvati da un moderatore. Lo so, è scomodo, ma è necessario per tenere lontani scocciatori, spammer, troll e stupidi: siate civili e verrete pubblicati qualunque sia la vostra opinione; gli incivili di qualsiasi orientamento non verranno pubblicati, se non per mostrare il loro squallore.
Inviando un commento date il vostro consenso alla sua pubblicazione, qui o altrove.
Maggiori informazioni riguardanti regole e utilizzo dei commenti sono reperibili nella sezione apposita.
NOTA BENE. L'area sottostante per l'invio dei commenti non è contenuta in questa pagina ma è un iframe, cioè una finestra su una pagina di Blogger esterna a questo blog. Ciò significa che dovete assicurarvi che non venga bloccata da estensioni del vostro browser (tipo quelle che eliminano le pubblicità) e/o da altri programmi di protezione antimalware (tipo Kaspersky). Inoltre è necessario che sia permesso accettare i cookie da terze parti (informativa sulla privacy a riguardo).
Commenti
Commenti (24)
Se la rete non è cifrata, come di solito tutte quelle che richiedono poi un'autenticazione da browser, non hai neanche bisogno di collegarti allo stesso access point, basta catturare i pacchetti stando in ascolto.
refuso nel titolo ("pubbliici")
Http per.... *SBONK* *SBONK* *SBONK*!
ma qui non è nemmeno questione di facebook, qui è pura idiozia! Ma come si fa ad effettuare una scelta così scellerata?
Tutti,

refusaccio corretto, grazie! Scusatemi, mi sa che sto diventando orbo.
mi sa che sto diventando orbo

No. Solo vecchio :-)
@Paolo:

Mi sembra strano che non funzioni, se hai il cookie dovrebbe funzionare a prescindere, il server non ha modo per rendersi conto che il client è diverso.
Sei sicuro di avere usato lo user agent corretto? Magari quello dell'esempio non è sempre valido.

Io ora non ho neanche un account per provare, quasi quasi ne faccio uno apposta!
Testato e confermo che funziona! Ho voluto provare con WPA2 per far le cose fatte bene;)

http://oi57.tinypic.com/25i6byh.jpg

Ovviamente in quel momento la direct inbox era vuota, ma la restitutesce correttamente.
Infatti se sbaglio il session_id di una lettera, mi da il messaggio di login richiesto.

Lo user agent in realtà sembra non controllarlo, posso scrivere qualsiasi cosa, anche non metterlo proprio.

Ovviamente ho anche provato a farmi condividere una foto da un amico, e funziona.
ieri sera alle ore 21:30 circa due persone in due luoghi differenti ( castiglione delle stiviere / desenzano del garda) guardando in direzione n-e hanno visto un oggetto infuocato precipitare.
Vi risulta qualcosa?
@emiliano

Aspettiamo un articolo di Paolo sui bolidi del 31 luglio :-)

Sulle prealpi bresciane ne è apparso uno spettacolare verso nord-ovest, intorno alle 21.15: una palla giallo-bianco con alone di fiamme rosse.
ieri sera alle ore 21:30 circa due persone in due luoghi differenti ( castiglione delle stiviere / desenzano del garda) guardando in direzione n-e hanno visto un oggetto infuocato precipitare.

Sì, sì, lo so... scusate... avrei dovuto avvisare.

C'è un torneo di tennis in corso, quella sera giocava Superman contro Thor.

Tor è stato subito squalifiato.... racchetta non regolamentare.
Immagino quella di Superman... avrà avuto il budello in cromo molibdeno. Sai quante battute ha fatto a vuoto con la pallina che gli cadeva in testa, causa foratura racchetta? E sai quante racchette ha cambiato? E quante ne ha tirato?
@Stupidocane

So solo che Superman ha usato racchetta allo 0,5% di criptonite per evitare colpi troppo pericolosi. Il problema l'ha crato Thor con la sua "racchetta" non regolamentare: i bolidi erano due suoi servizi un po' fuori misura.

Il prossimo incontro sarà Uomo Ragno contro Mr. Fantastic. Ci sono un po' di problemi: l'Uomo Ragno vuole incordare la racchetta con materiale non omologato, Mr. Fantastic non vuole che sua moglie stia sugli spalti continuamente inquadrata da una telecamera...
Flash nel frattempo ha vinto un solitario contro sé stesso. I raccattapalle in imbarazzo per il riporto del giudice di gara che garriva felice al vento creato dal giocatore. Non se n'è accorto per tutta la durata del match. Era troppo impegnato a tenere ferme le pagine svolazzanti del regolamento per trovare la definizione di "partita a giocatore singolo"...
Wolverine eliminato al primo turno. Le ha prese tutte ma non è riuscito a mandarne nemmeno una dall'altra parte. I raccattapalle sono stati autorizzati in via del tutto eccezionale ad usare lo scopettone.
Comunque girano voci che si vulcano darla vinta a tavolino al Dr. Manhattan. Non tanto per aver fatto implodere l'ultimo arbitro che l'aveva battezzata fuori, quanto per lo smaronamento di giocare contro un avversario che alla battuta usa i wormholes, facendo apparire la palla all'ultimo femtosecondo, mentre progetta un motore a curvatura e contestualmente ci prova con la moglie di Mr. Fantastic.
Si voglia non si vulcano... ma chi è che ha fatto il correttore della Samsung?
Mi è stato riferito che ieri si è anche sfiorata la tragedia. Quando Hulk era di servizio, alla dichiatazione "HULK BATTUTA! " il pubblico per non contrariarlo scoppiava in una risata isterica. Fino a che Hulk non li ha guardati tutti negli occhi dicendo "PROSIMO CHE RIDE, HULK ASFALTA!!!"

In 32 tra Supereroi e Assistenti Supereroi a spiegargli la situazione...
Hawkeye non si è iscritto per puntiglio. Se n'è andato stizzito sfidando tutti a freccette. È ancora al pub che aspetta... e pensare che si è persino fabbricato un archetto per freccette con un portatovaglioli, un sottobicchiere ed un laccio della scarpa.

Sta lentamente scivolando nell'alcolismo...
Batman intanto (che non è stato invitato per non ben chiariti problemi di copyright) se ne sta appollaiato sul pennone del palazzetto e gufa.
Il match tra Lanterna Verde e Acquaman è stato sospeso per vari motivi. Troppe le docce dell'uno, troppe le lanternate invece che racchettate dall'altra.

Prima di ieri nessuno sospettava che Lanterna Verde confondesse ancora la destra con la sinistra.

Ai giornalisti ha urlato sconfortato "Sono solo ambidestro! "
Tra le donne invece da segnalare la sconcertante prova di Catwoman.

Nonostante i continui richiami dell'arbitro a non rincorrere la pallina, ha continuato comunque a tentare gli agguati facendo la gobba, aspettandola sotto le gambe di Cyclope, il guardalinee.
Squalificato anche Magneto per temporeggiamento reiterato. Prima dell'ultimo servizio in cui avrebbe stravinto il match contro il Professor Xavier, ha attaccato un monologo infinito sulla superiorità delle sue facoltà rispetto a quelle del professore.

Pur avendo vinto a tavolino Xavier si è ritirato comunque dalla competizione. Non aveva più posto per altri bernoccoli.
Mi sa che i cartoni animati che ho visto io da piccolo siano gli stessi che hai visto tu (Dick Dastardly e Muttley e tutta la serie di Hanna&Barbera)

E ci hanno rovinato a tutti e due :-)
Grandi aspettative invece per Rat Man.

Distrutte sul nascere alla prima palla.

Nessuno dei presenti ha saputo descrivere la dinamica dell'incidente che, da un semplice inciampo nella mantellina dell'orecchiuto supereroe, si sia arrivati al medesimo aggrovigliato nella rete e ad una racchetta ingoiata.

Per intero.

Di traverso.

Come nessuno è riuscito a capire perché continuasse ad inveire pesantemente contro i coltivatori diretti...