इंस्टाग्राम सिक्योरिटी लूपहोले हमलावरों को तस्वीरें हटाने और अकाउंट संभालने की अनुमति देता है
इंस्टाग्राम आईओएस और एंड्रॉइड दोनों प्लेटफॉर्म के लिए सबसे लोकप्रिय और सबसे अधिक इस्तेमाल किया जाने वाला फोटो-शेयरिंग ऐप बन सकता है लेकिन किसी भी अन्य ऐप की तरह, यह बिल्कुल सही नहीं है। वास्तव में, हाल ही में एक नई खामी की खोज की गई है। विशेषज्ञों के अनुसार, नए इंस्टाग्राम सुरक्षा दोष हमलावरों को तस्वीरें हटाने या यहां तक कि खाते लेने की अनुमति दे सकते हैं। आईओएस डिवाइस पर चलने वाले इंस्टाग्राम संस्करण 3.1.2 में लूपहोल की खोज की गई थी।
इंस्टाग्राम एपीआई अनुरोध और डेटा भेजने के लिए HTTP और HTTPS कनेक्शन दोनों का उपयोग करता है। प्रोफ़ाइल संपादन डेटा और लॉगिन क्रेडेंशियल जैसी संवेदनशील जानकारी अक्सर HTTPS के माध्यम से भेजी जाती है क्योंकि यह एक सुरक्षित चैनल है। लेकिन यह हाल ही में reventlov.com पर लोगों द्वारा पता चला है कि कुछ डेटा वास्तव में दूसरे चैनल का उपयोग करके भेजे गए हैं जो कुछ हमलावरों द्वारा शोषण के लिए असुरक्षित बना रहे हैं, जो कि खामियों को जान सकते हैं।
यदि डेटा HTTP चैनल के माध्यम से भेजा जाता है, तो आवश्यक प्रमाणीकरण का एकमात्र रूप एक मानक कुकी है जो अक्सर उपयोगकर्ता द्वारा इंस्टाग्राम ऐप शुरू करने पर हर बार एन्क्रिप्शन के बिना भेजा जाता है। हमलावर जो iPhone या iPad के साथ एक ही नेटवर्क पर हो सकते हैं, वे एक साधारण आर्पसोफिंग हमले के माध्यम से डेटा को इंटरसेप्ट करने में सक्षम हो सकते हैं और अपनी पसंद के अनुसार जानकारी का दोहन कर सकते हैं। यदि ऐसा होता है और हमलावर इंटरसेप्टेड जानकारी का उपयोग करके प्रमाणित करने में सक्षम हो सकते हैं, तो उनके पास पहले से ही खाते की अंतिम पहुंच है और वे कभी भी लॉगिन क्रेडेंशियल बदल सकते हैं या फ़ोटो हटा सकते हैं।
जिन लोगों को दोष का पता चला है, उन्होंने 10 नवंबर को इसे सार्वजनिक किया और उन्होंने इसके बारे में एक दिन बाद इंस्टाग्राम से संपर्क किया लेकिन उन्हें जो मिला वह एक स्वचालित प्रतिक्रिया थी। अब तक, यह मुद्दा अभी भी चालू हो सकता है इसलिए आईओएस डिवाइस के मालिक जो अधिक बार इंस्टाग्राम का उपयोग कर रहे हैं, उन्हें अधिकांश समय HTTPS चैनल का उपयोग करना चाहिए, या कभी भी किसी भी खुले वाईफाई एक्सेस प्वाइंट का उपयोग नहीं करना चाहिए।
यह मुद्दा केवल इंस्टाग्राम को चिंतित कर सकता है लेकिन अधिक बार, हमलावरों को पता होता है कि फेसबुक, ट्विटर और यहां तक कि ईमेल सहित अन्य खातों तक पहुंच प्राप्त करने में सक्षम होने के लिए क्या पता होना चाहिए। एहतियाती उपाय विशेष रूप से उन लोगों द्वारा किए जाने चाहिए जो अपने उपकरणों पर कुछ संवेदनशील डेटा संग्रहीत कर रहे हैं।
[स्रोत: रेवेंटलोव]
