Instagram sur iOS : une vulnérabilité permet de prendre le contrôle du compte

03 décembre 2012 à 14h51
0
Un expert en sécurité a mis en lumière une faille dans la version iOS de l'application Instagram : cette dernière envoie des informations en clair sur le serveur du service, permettant à un pirate de prendre le contrôle du compte de l'utilisateur.

00FA000005273794-photo-logo-instagram.jpg
Le chercheur en sécurité Carlos Reventlov pointe du doigt une faille présente dans la version 3.1.2 de l'application Instagram pour iOS, publiée le 23 octobre dernier sur l'App Store. L'expert a constaté que si l'application chiffre de nombreuses données sensibles avant de les envoyer sur les serveurs d'Instagram, certaines informations sont, de leur côté, envoyées en clair. C'est notamment le cas d'un cookie qui est envoyé sans chiffrement lorsque l'utilisateur lance l'application.

« Une fois que l'attaquant récupère le cookie, il est en mesure de créer des requêtes HTTP spéciales visant à récolter des informations et supprimer des photos » explique-t-il. Il est possible de changer l'adresse email liée au compte pour le compromettre totalement.

Testé sur un iPhone 4 doté d'iOS, l'exploit résulte d'une attaque de type « man in the middle », c'est à dire que l'attaquant doit intercepter les données entre le moment où l'utilisateur les envoie et celui où elles sont reçues par le serveur distant. Point important, le hacker doit se trouver sur le même réseau que la victime, ce qui réduit le champ d'action de l'intrusion, notamment aux réseaux WiFi non sécurisés.

Carlos Reventlov avait mis le doigt sur le problème le 10 novembre dernier, mais ne l'a publiquement dévoilé que le 30 novembre, car il avait tenté de prévenir Instagram avant. Au bout de 20 jours sans nouvelles du service, il a décidé de publier la faille, en précisant qu'elle n'avait pas été corrigée.
Modifié le 01/06/2018 à 15h36
Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
0
0

Actualités récentes

Cette smart TV 4K Continental 58
Le pack volant de course Logitech G920 + levier Shifter est vraiment pas cher sur Cdiscount
Les prochains écouteurs WF-1000XM4 de Sony se dévoilent en images
Xbox Series X|S : le Dolby Vision HDR se précise, chez les insiders d'abord et demain pour tous
Cette petite souris sans fil Microsoft Wireless Mobile Mouse est à moins de 10€
MSI met le cap sur le ratio 16:10 et annonce de nouveaux appareils gaming et création
Epic Store : The Lion’s Song offert cette semaine, et une surprise prévue pour la semaine prochaine
Les PC portables modulaires et réparables Framework arriveront en Europe d'ici la fin de l'année
Ghostrunner 2 sera exclusif aux consoles nouvelle génération et aux PC
Gigabyte fait un commentaire sur la fabrication chinoise, perd 550 millions et... présente ses excuses
Haut de page