O pesquisador de segurança Laxman Muthiyah descobriu uma vulnerabilidade crítica que poderia ter permitido que atacantes remotos para redefinir a senha de contas do Instagram, obtendo assim acesso completo às contas comprometidas. A vulnerabilidade residia no mecanismo de recuperação de senha na versão móvel do Instagram.
Quando um usuário digita seu número de celular, eles receberão uma senha de seis dígitos para o número do celular. Eles precisam digitá-lo para alterar sua senha. Portanto, se pudermos tentar todos os um milhão de códigos no terminal de verificação de código, poderíamos alterar a senha de qualquer conta. Mas eu tinha certeza de que deve haver alguma taxa limitadora contra esses ataques de força bruta. Eu decidi testar, o pesquisador escreveu.
Risco de corrida e problemas de rotação de IP
Os testes do pesquisador revelaram a presença de limitação de taxa. Pelo visto, ele enviou 1000 solicitações de, 250 dos quais passaram e o restante teve taxa limitada. Muthiyah realizou o mesmo teste com outro 1000 solicitações de, e descobriu que os sistemas do Instagram estavam de fato validando e limitando as solicitações de maneira adequada. Contudo, o pesquisador percebeu duas coisas que o intrigaram - o número de pedidos ele foi capaz de enviar, e a falta de lista negra:
Consegui enviar solicitações continuamente sem ser bloqueado, embora o número de solicitações que posso enviar em uma fração de tempo seja limitado.
Após vários outros testes, o pesquisador descobriu que o risco de corrida e a rotação de IP poderiam permitir que ele ignorasse o mecanismo de limitação de taxa.
Quando faz uma condição de corrida acontecer? disse brevemente, uma condição de corrida acontece quando um dispositivo ou sistema tenta executar duas ou mais operações ao mesmo tempo, mas devido à natureza do dispositivo ou sistema, as operações devem ser realizadas na sequência adequada para serem executadas corretamente.
O envio de solicitações simultâneas usando vários IPs me permitiu enviar um grande número de solicitações sem ficar limitado, explica a pesquisadora. O número de solicitações que podemos enviar depende da simultaneidade de solicitações e do número de IPs que usamos. Além disso, Percebi que o código expira em 10 minutos, torna o ataque ainda mais difícil, portanto, precisamos de milhares de IPs para realizar o ataque.
A vulnerabilidade foi relatada ao Facebook, mas levou algum tempo para a equipe de segurança do Facebook reproduzir o problema, pois as informações no relatório do pesquisador não eram suficientes. Contudo, a prova de conceito o vídeo os convenceu de que "o ataque é viável”.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: