Ricercatore di sicurezza Laxman Muthiyah ha scoperto una vulnerabilità critica che potrebbe hanno permesso ad aggressori remoti di reimpostare la password di account Instagram, ottenendo così il pieno accesso agli account compromessi. La vulnerabilità risiedeva nel meccanismo di recupero della password nella versione mobile di Instagram.
Quando un utente inserisce il suo / la sua numero di cellulare, che verrà inviato un codice di accesso a sei cifre per il loro numero di cellulare. Devono entrare per cambiare la propria password. Quindi, se siamo in grado di provare tutti i codici di un milione di sull'endpoint verify-code, saremmo in grado di modificare la password di qualsiasi account. Ma ero abbastanza sicuro che ci deve essere qualche limitazione della velocità contro tali attacchi a forza bruta. Ho deciso di provarlo, il ricercatore ha scritto.
Corsa dei rischi e problemi di rotazione IP
test del ricercatore rivelato la presenza di fattore limitante. Apparentemente, ha mandato in giro 1000 richieste, 250 dei quali ha attraversato e gli altri sono stati tasso limitato. Muthiyah eseguito lo stesso test con un'altra 1000 richieste, e ha scoperto che i sistemi di Instagram sono stati davvero convalidando e tasso di limitare le richieste in modo corretto. Tuttavia, il ricercatore ha notato due cose che lo perplesso - il numero di richieste egli era in grado di inviare, e la mancanza di liste nere:
Sono stato in grado di inviare le richieste in continuo senza essere bloccato anche se il numero di richieste posso inviare in una frazione del tempo è limitato.
Dopo diversi altri test, il ricercatore ha scoperto che pericolo gara e la rotazione IP potrebbero permettergli di bypassare il meccanismo di limitazione della velocità di.
quando fa una condizione di competizione accadere? Poco detto, una condizione di competizione succede quando un dispositivo o sistema tenta di eseguire due o più operazioni contemporaneamente, ma a causa della natura del dispositivo o sistema, le operazioni devono essere eseguite nella sequenza corretta da eseguire correttamente.
Invio di richieste simultanee che utilizzano IP multipli mi ha permesso di inviare un gran numero di richieste senza essere limitati, il ricercatore spiegato. Il numero di richieste che possiamo inviare dipende concorrenza del reqs e il numero di indirizzi IP che usiamo. Anche, Mi sono reso conto che il codice scade nel 10 verbale, rende l'attacco ancora più difficile, quindi abbiamo bisogno 1000s di indirizzi IP per eseguire l'attacco.
La vulnerabilità è stata segnalata a Facebook, ma ci volle del tempo per il team di sicurezza di Facebook per riprodurre il problema in quanto le informazioni nella relazione del ricercatore non era abbastanza. Tuttavia, il verifica teorica il video li convinse che “l'attacco è fattibile".
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: