Le chercheur en sécurité Laxman Muthiyah a découvert une vulnérabilité critique qui aurait pu permettre à des attaquants distants pour réinitialiser le mot de passe des comptes Instagram, obtenant ainsi un accès complet aux comptes compromis. La vulnérabilité réside dans le mécanisme de récupération de mot de passe dans la version mobile Instagram.
Lorsqu'un utilisateur entre son / son numéro de téléphone mobile, ils recevront un code d'accès à six chiffres à leur numéro de téléphone mobile. Ils doivent entrer pour changer leur mot de passe. Par conséquent, si nous sommes en mesure d'essayer tous les codes d'un million sur le point de terminaison de code vérifier, nous serions en mesure de changer le mot de passe de tout compte. Mais je suis assez sûr qu'il doit y avoir un taux limite contre de telles attaques par force brute. J'ai décidé de le tester, le chercheur a écrit.
Risque de course et les questions de rotation IP
Les essais du chercheur ont révélé la présence de taux limite. Apparemment, il a envoyé autour 1000 demandes, 250 dont a traversé et le reste le taux était limité. Muthiyah a effectué le même test avec un autre 1000 demandes, et ont découvert que les systèmes de validions en effet Instagram et taux limitant les demandes d'une manière appropriée. Cependant, le chercheur a remarqué deux choses qui l'intriguait - la nombre de demandes il a été en mesure d'envoyer, et l'absence de listes noires:
Je suis en mesure d'envoyer des demandes en continu sans être bloqué, même si le nombre de demandes que je peux envoyer en une fraction de temps est limité.
Après plusieurs autres tests, le chercheur a découvert que risque de course et la rotation IP pourrait lui permettre de contourner le mécanisme de limitation de vitesse.
quand est-ce une condition de course se produire? Peu dit, une condition de course qui se produit quand un dispositif ou système tente d'effectuer en même temps deux ou plusieurs opérations, mais à cause de la nature du dispositif ou système, les opérations doivent être effectuées dans la séquence appropriée à effectuer correctement.
Envoi de requêtes simultanées utilisant plusieurs adresses IP m'a permis d'envoyer un grand nombre de demandes sans se limiter, le chercheur a expliqué. Le nombre de demandes que nous pouvons envoyer dépend de la concomitance des reqs et le nombre d'adresses IP que nous utilisons. Aussi, Je compris que le code expire en 10 procès-verbal, il rend encore plus difficile l'attaque, nous avons donc besoin 1000s d'adresses IP pour effectuer l'attaque.
La vulnérabilité a été rapportée à Facebook mais il a fallu un certain temps pour l'équipe de sécurité de Facebook pour reproduire le problème que les informations contenues dans le rapport du chercheur ne suffisait pas. Cependant, la preuve de concept vidéo les a convaincus que «l'attaque est possible".