iPhone-App

Instagram mit Sicherheitslücke

Ein Hacker hat bei Instagram eine Sicherheitslücke gefunden. Nach einer abgelehnten Belohnung droht er Facebook mit einem Angriff, um den Druck zu erhöhen.

Die iPhone-App von Instagram hat eine Sicherheitlücke.

© Screenshot: WEKA; steves-digicams.com/news/instagram_changes_terms_of_service_in_response_to_user_outrage.html

Die iPhone-App von Instagram hat eine Sicherheitlücke.

Durch die Sicherheitslücke, die der Foto-Sharing-Dienst Instagram hat, können über öffentliche WLAN-Netze auf Nutzerprofile zugegriffen werden. Steven Graham, ein Londoner Entwickler, hat dies herausgefunden und dem Mutterkonzern Facebook gemeldet - auch mit der Hoffnung, dafür eine Belohnung zu kassieren.

Facebook verweigerte Graham allerdings das "Kopfgeld" (Bug Bounty). Deswegen machte der Entwickler den Programmierfehler per Twitter bekannt: "Bug Bounty verweigert. Der nächste Schritt ist nun ein automatisches Tool zu bauen, das Massenentführung der Nutzerkonten ermöglicht. Ziemlich ernsthafte Schwachstelle, Facebook. Bitte fixen."

Angeblich wisse Steven Graham seit Jahren von dieser Sicherheitslücke. Instagram nutzt für den Großteil seiner Datenübertragung HTTP. Damit werden der Nutzername und die dazugehörige Accountnummer unverschlüsselt weitergegeben. Graham zeigt auf, dass die Informationen zwischen den Nutzer-iPhones und dem Dienst frei zugänglich übertragen werden.

Zwar werden die Anmeldeinformationen und Passwörter über eine sichere Verbindung ausgetauscht, aber die Konten können über den gleichen Cookie anderer ausgetauschter Informationen im selben Netz trotzdem geknackt werden. Und das ohne Neuanmeldung. "Sobald man einen Cookie hat, kann jedes Ziel damit authentifiziert werden, egal ob HTTPS oder HTTP", sagt Graham.

Durch das Cookie-Klau-Tool "Firesheep" wurde Facebook im Jahr 2010 dazu veranlasst, HTTPS-Verbindungen einzuführen. Die aktuelle Sicherheitslücke erinnert sehr an Firesheep. Graham will deswegen sein automatisches Tool zum Ausspähen der Nutzerdaten, das er zuvor per Twitter ankündigte, Instasheep nennen.

Auf Hacker News erklärte nun Instagrams Mitbegründer Mike Krieger, dass die App gerade dabei sei, die HTTPS-Abdeckung auszubauen. Angeblich sollen Leistung, Stabilität und Nutzungserlebnis dabei nicht leiden. Bald schon soll das Projekt abgeschlossen sein. Ob auch die Android-App von der Schwachstelle betroffen ist, ist bisher unklar.

Mehr zum Thema

Facebook-Neulinge bekommen bessere Voreinstellungen für mehr Datenschutz.
Automatischer Datenschutz

Neue Facebook-Nutzer müssen nicht mehr fürchten, dass Einträge von allen Nutzern gelesen werden können. Facebook ändert die Voreinstellungen für…
Social Networks
Privatsphäre und Datenschutz

Wir zeigen die optimalen Facebook-Einstellungen, damit Sie mehr Privatsphäre, Datenschutz und Datensicherheit im Social Network genießen.
Screenshot: Facebook-Update
Mehr Transparenz und Kontrolle

Facebook ändert ab dem 1. Januar 2015 verschiedene Nutzungsbedingungen. Wir haben die wichtigsten Änderungen für Sie zusammengefasst.
Symbolbild für Internet-Sicherheit und Spionage
Schwere IE-Lücke

Microsofts Internet Explorer ist von einer schweren Sicherheitslücke betroffen, für die es bislang noch keinen Patch gibt. Hacker können so Code…
Facebook-Logo
Verbraucherzentrale reicht's

Die neuen Facebook-Nutzungsbedingungen verstoßen laut Verbraucherschützern gegen deutsches Recht. Der Verbraucherzentrale Bundesverband mahnt…