Security-onderzoeker Laxman Muthiyah ontdekte een kritieke kwetsbaarheid die zou hebben toegestaan externe aanvallers het wachtwoord van Instagram accounts gereset, waardoor volledige toegang tot de gecompromitteerde accounts verkrijgen. De kwetsbaarheid woonde in het password recovery mechanisme in de mobiele versie van Instagram.
Wanneer een gebruiker zijn / haar mobiele nummer binnenkomt, zij zullen een zes-cijferige toegangscode worden gestuurd naar hun mobiele nummer. Ze hoeft in te voeren om hun wachtwoord te wijzigen. Dus als we in staat zijn om alle een miljoen codes op de verify-code endpoint proberen, we in staat om het wachtwoord van elk account te wijzigen zou zijn. Maar ik was er vrij zeker van dat er een aantal snelheidsbeperkende tegen dergelijke brute-force aanvallen moeten zijn. Ik besloot om het te testen, de onderzoeker schreef.
Race Hazard en IP Rotation Issues
proeven De onderzoeker onthulde de aanwezigheid van snelheidsbeperkende. Blijkbaar, stuurde hij rond 1000 verzoeken, 250 die ging door en de anderen zijn snelheid beperkt. Muthiyah deed dezelfde proef met een andere 1000 verzoeken, en ontdekte dat Instagram de systemen waren inderdaad valideren en snelheidsbeperkende de verzoeken op een goede manier. Echter, de onderzoeker merkte twee dingen die hem verbaasd - het aantal verzoeken hij was in staat om te sturen, en het gebrek aan zwarte lijst:
Ik was in staat om verzoeken continu te sturen zonder dat geblokkeerd, hoewel het aantal aanvragen kan ik in een fractie van de tijd te sturen is beperkt.
Na een aantal andere tests, De onderzoeker ontdekte dat gevaar ras en IP rotatie kon hem in staat stellen de snelheidsbeperkende mechanisme te omzeilen.
Wanneer doet een conflictsituatie gebeuren? Kort gezegd, een conflictsituatie gebeurt wanneer een apparaat of systeem probeert twee of meer bewerkingen tegelijk, maar vanwege de aard van het apparaat of systeem, de werkzaamheden moeten worden uitgevoerd in de juiste volgorde correct worden uitgevoerd.
Het verzenden van gelijktijdige aanvragen met behulp van meerdere IP-adressen stond me toe om een groot aantal verzoeken te sturen zonder dat beperkt, de onderzoeker uitgelegd. Het aantal verzoeken dat we kunnen sturen is afhankelijk van de gelijktijdigheid van reqs en het aantal IP-adressen die wij gebruiken. Ook, Ik realiseerde me dat de code verloopt in 10 notulen, maakt de aanval nog moeilijker, Daarom moeten we 1000 van de IP-adressen aan de aanval uit te voeren.
De kwetsbaarheid werd gemeld aan Facebook, maar het duurde enige tijd voor Facebook's security team om het probleem te reproduceren als de informatie in het rapport van de onderzoeker was niet genoeg. Echter, de proof-of-concept video overtuigde hen dat “de aanval haalbaar".
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: