Der Sicherheitsforscher Laxman Muthiyah entdeckt eine kritische Schwachstelle, die es entfernten Angreifern erlaubt haben könnte das Passwort von Instagram Konten zurücksetzen, Dadurch erhält man vollen Zugriff auf die kompromittierten Accounts. Die Sicherheitslücke in dem Passwort-Recovery-Mechanismus in der mobilen Version von Instagram residierte.
Wenn ein Benutzer gibt seine / ihre Handy-Nummer, sie werden einen sechsstelligen Code, um ihre Handy-Nummer gesendet werden. Sie müssen es geben ihr Passwort zu ändern. Deshalb, wenn wir alle eine Million Codes auf dem Überprüfungs-Code Endpunkt zu versuchen, sind in der Lage, wir die Lage wären, das Passwort eines Kontos zu ändern. Aber ich war ziemlich sicher, dass es muss eine Rate gegen solche Brute-Force-Angriffe zu begrenzen sein. Ich beschloss, es zu testen, die Forscher schrieben.
Rennen Gefahren- und IP-Rotation Probleme
Die Tests der Forscher zeigte die Anwesenheit von Ratenbegrenzung. Offenbar, schickte er um 1000 Anfragen, 250 ging davon durch und der Rest war Rate begrenzt. Muthiyah geführt, um den gleichen Test mit einem anderen 1000 Anfragen, und entdeckt, dass Instagram die Systeme waren in der Tat die Validierung und bewerten die Anforderungen in geeigneter Weise zu begrenzen. Jedoch, die Forscher festgestellt, zwei Dinge, die ihn verwirrt - die Anzahl der Anfragen er war in der Lage zu senden, und der Mangel an einem schwarzen Liste:
Ich konnte Anfragen ohne selbst kann ich in einem Bruchteil der Zeit senden, obwohl die Anzahl der Anfragen blockiert immer kontinuierlich senden ist begrenzt.
Nach mehreren anderen Tests, die Forscher entdeckt, dass Rennen Gefahren- und IP Rotation erlauben könnte ihm die Rate begrenzenden Mechanismus zu umgehen.
Wann wird eine Race-Bedingung geschehen? Kurz gesagt, eine Race-Bedingung geschieht, wenn eine Vorrichtung oder ein System zur Durchführung von zwei oder mehr Operationen zur gleichen Zeit versucht, sondern wegen der Art des Gerätes oder Systems, die Operationen müssen in der richtigen Reihenfolge durchgeführt werden korrekt ausgeführt werden.
Senden gleichzeitige Zugriffe mehrere IPs mit mir erlaubt, ohne dass eine große Anzahl von Anfragen zu schicken immer begrenzt, Der Forscher erklärt. Die Anzahl der Anfragen können wir abhängig von Gleichzeitigkeit von reqs und die Anzahl der IP-Adressen senden wir verwenden. Auch, Ich erkannte, dass der Code läuft im 10 Minuten, es macht den Angriff noch schwieriger, deshalb brauchen wir 1000s IPs den Angriff auszuführen.
Die Sicherheitslücke wurde auf Facebook berichtet, aber es dauerte einige Zeit, Facebook-Sicherheitsteam die Frage, wie die Informationen in dem Forscher Bericht zu reproduzieren war nicht genug. Jedoch, die konzeptioneller Beweiß Video überzeugte sie davon, dass „der Angriff ist machbar".