Instagram dans le mécanisme de Flaw Password Recovery donne accès complet
CYBER NOUVELLES

Instagram dans le mécanisme de Flaw Password Recovery donne accès complet

1 Star2 Stars3 Stars4 Stars5 Stars (Pas encore d'évaluation)
Loading ...

Le chercheur en sécurité Laxman Muthiyah a découvert une vulnérabilité critique qui aurait pu permettre à des attaquants distants pour réinitialiser le mot de passe des comptes Instagram, obtenant ainsi un accès complet aux comptes compromis. La vulnérabilité réside dans le mécanisme de récupération de mot de passe dans la version mobile Instagram.




Lorsqu'un utilisateur entre son / son numéro de téléphone mobile, ils recevront un code d'accès à six chiffres à leur numéro de téléphone mobile. Ils doivent entrer pour changer leur mot de passe. Par conséquent, si nous sommes en mesure d'essayer tous les codes d'un million sur le point de terminaison de code vérifier, nous serions en mesure de changer le mot de passe de tout compte. Mais je suis assez sûr qu'il doit y avoir un taux limite contre de telles attaques par force brute. J'ai décidé de le tester, le chercheur a écrit.

Risque de course et les questions de rotation IP

Les essais du chercheur ont révélé la présence de taux limite. Apparemment, il a envoyé autour 1000 demandes, 250 dont a traversé et le reste le taux était limité. Muthiyah a effectué le même test avec un autre 1000 demandes, et ont découvert que les systèmes de validions en effet Instagram et taux limitant les demandes d'une manière appropriée. Cependant, le chercheur a remarqué deux choses qui l'intriguait - la nombre de demandes il a été en mesure d'envoyer, et l'absence de listes noires:

Je suis en mesure d'envoyer des demandes en continu sans être bloqué, même si le nombre de demandes que je peux envoyer en une fraction de temps est limité.

Après plusieurs autres tests, le chercheur a découvert que risque de course et la rotation IP pourrait lui permettre de contourner le mécanisme de limitation de vitesse.

quand est-ce une condition de course se produire? Peu dit, une condition de course qui se produit quand un dispositif ou système tente d'effectuer en même temps deux ou plusieurs opérations, mais à cause de la nature du dispositif ou système, les opérations doivent être effectuées dans la séquence appropriée à effectuer correctement.

Envoi de requêtes simultanées utilisant plusieurs adresses IP m'a permis d'envoyer un grand nombre de demandes sans se limiter, le chercheur a expliqué. Le nombre de demandes que nous pouvons envoyer dépend de la concomitance des reqs et le nombre d'adresses IP que nous utilisons. Aussi, Je compris que le code expire en 10 procès-verbal, il rend encore plus difficile l'attaque, nous avons donc besoin 1000s d'adresses IP pour effectuer l'attaque.

en relation: Base de données de détails Exposed 49 Millions d'utilisateurs Instagram

La vulnérabilité a été rapportée à Facebook mais il a fallu un certain temps pour l'équipe de sécurité de Facebook pour reproduire le problème que les informations contenues dans le rapport du chercheur ne suffisait pas. Cependant, la preuve de concept vidéo les a convaincus que «l'attaque est possible".

avatar

Milena Dimitrova

Un écrivain inspiré et gestionnaire de contenu qui a été avec SensorsTechForum pour 4 ans. Bénéficie d' « M.. Robot » et les craintes de 1984 '. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim

Plus de messages

Suivez-moi:
Gazouillement

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont marqués *

Délai est épuisé. S'il vous plaît recharger CAPTCHA.

Partager sur Facebook Partager
Loading ...
Partager sur Twitter Tweet
Loading ...
Partager sur Google Plus Partager
Loading ...
Partager sur Linkedin Partager
Loading ...
Partager sur Digg Partager
Partager sur Reddit Partager
Loading ...
Partager sur Stumbleupon Partager
Loading ...