El investigador de seguridad Laxman Muthiyah descubrió una vulnerabilidad crítica que podría haber permitido a un atacante remoto para restablecer la contraseña de las cuentas de Instagram, obteniendo así acceso completo a las cuentas comprometidas. La vulnerabilidad reside en el mecanismo de recuperación de contraseña en la versión móvil de Instagram.
Cuando un usuario entra en su / su número de teléfono móvil, que se enviarán un código de seis dígitos de su número de móvil. Tienen que entrar en él para cambiar su contraseña. Por lo tanto, si somos capaces de probar todos los códigos de un millón en el punto final de código verificar, que sería capaz de cambiar la contraseña de cualquier cuenta. Pero yo estaba bastante seguro de que tiene que haber alguna limitación de velocidad contra este tipo de ataques de fuerza bruta. Decidí probarlo, el investigador escribió.
Peligro de raza y Problemas de rotación IP
pruebas de los investigadores revelaron la presencia de limitación de velocidad. Al parecer,, envió alrededor 1000 peticiones, 250 de los cuales atravesó y el resto se limita tasa. Muthiyah realizó el mismo ensayo con otro 1000 peticiones, y descubrieron que los sistemas de Instagram fueron de hecho la validación y la limitación de velocidad en las peticiones de una manera apropiada. Sin embargo, el investigador se dio cuenta de dos cosas que le desconcertaron - la número de solicitudes él fue capaz de enviar, y la falta de una lista negra:
Yo era capaz de enviar solicitudes de forma continua sin ser bloqueado a pesar de que el número de solicitudes puedo enviar en una fracción del tiempo es limitado.
Después de varias otras pruebas, el investigador descubrió que el riesgo raza y la rotación IP podrían permitir que él para eludir la limitación de velocidad mecanismo.
cuando lo hace una condición de carrera ocurrir? Poco dicho, una condición de carrera que sucede cuando un dispositivo o sistema intenta realizar dos o más operaciones al mismo tiempo, pero debido a la naturaleza del dispositivo o sistema, las operaciones se deben realizar en el orden adecuado a realizar correctamente.
Envío de solicitudes simultáneas utilizando varias direcciones IP permite que envíe un gran número de solicitudes sin ser limitado, el investigador explicó. El número de solicitudes que pueden enviar depende de la concurrencia de reqs y el número de direcciones IP que utilizamos. También, Me di cuenta de que el código expira en 10 acta, que hace que el ataque más duro, por lo tanto necesitamos 1000 de IPs para llevar a cabo el ataque.
La vulnerabilidad fue reportada a Facebook pero tomó algún tiempo para que el equipo de seguridad de Facebook para reproducir el problema ya que la información en el informe del investigador no fue suficiente. Sin embargo, la prueba de concepto los convenció de que el vídeo “el ataque es factible".