Sikkerhed forsker Laxman Muthiyah opdaget en kritisk sårbarhed, der kunne have tilladt fjernangribere at nulstille adgangskoden på Instagram konti, således at der opnås fuld adgang til de kompromitterede konti. Sårbarheden boet i password opsving mekanisme i den mobile version af Instagram.
Når en bruger indtaster hans / hendes mobilnummer, de vil blive sendt en seks-cifret adgangskode til deres mobilnummer. De skal indtaste den for at ændre deres kodeord. Derfor, hvis vi er i stand til at prøve alle de en million koder på verificere-kode endepunkt, vi ville være i stand til at ændre adgangskoden for en konto. Men jeg var ret sikker på, at der må være en hastighedsbegrænsende mod sådanne brute-force-angreb. Jeg besluttede at prøve det, forskeren skrev.
Race Hazard og IP Rotation Issues
Forskerens tests afslørede tilstedeværelsen af hastighedsbegrænsende. Tilsyneladende, han sendte rundt 1000 anmodninger, 250 hvoraf gik igennem og resten blev sats begrænset. Muthiyah udført den samme test med en anden 1000 anmodninger, og opdagede, at Instagram systemer faktisk var validering og hastighedsbegrænsende anmodninger på en ordentlig måde. Men, forskeren bemærket to ting, som forundret ham - den Antallet af anmodninger han var i stand til at sende, og manglen på sortlistning:
Jeg var i stand til at sende anmodninger kontinuerligt uden at blive blokeret, selv om antallet af anmodninger, jeg kan sende i en brøkdel af tiden er begrænset.
Efter flere andre tests, forskeren opdagede, at løb fare og IP-rotation kunne tillade ham at omgå det hastighedsbegrænsende mekanisme.
Hvornår en race condition ske? Kort sagt, en race condition sker, når en enhed eller systemet forsøger at udføre to eller flere af samtidig, men på grund af arten af indretningen eller systemet, operationerne skal udføres i den rigtige rækkefølge at blive udført korrekt.
Afsendelse samtidige anmodninger ved hjælp af flere IP'er tilladt mig at sende et stort antal anmodninger uden at blive begrænset, forskeren forklarede. Antallet af anmodninger, vi kan sende afhænger af concurrency af anmod og antallet af IP-adresser, vi bruger. Også, Jeg indså, at koden udløber i 10 minutter, det gør angrebet endnu sværere, Derfor har vi brug for 1000vis af IP-adresser til at udføre angrebet.
Sårbarheden blev rapporteret til Facebook, men det tog noget tid for Facebooks sikkerhedsteam at genskabe problemet, da oplysningerne i forskerens rapport var ikke nok. Men, den proof-of-concept video overbeviste dem om, at ”angrebet er muligt".