iPhone-App

Instagram mit Sicherheitslücke

Ein Hacker hat bei Instagram eine Sicherheitslücke gefunden. Nach einer abgelehnten Belohnung droht er Facebook mit einem Angriff, um den Druck zu erhöhen.

© Screenshot: WEKA; steves-digicams.com/news/instagram_changes_terms_of_service_in_response_to_user_outrage.html

Die iPhone-App von Instagram hat eine Sicherheitlücke.

Durch die Sicherheitslücke, die der Foto-Sharing-Dienst Instagram hat, können über öffentliche WLAN-Netze auf Nutzerprofile zugegriffen werden. Steven Graham, ein Londoner Entwickler, hat dies herausgefunden und dem Mutterkonzern Facebook gemeldet - auch mit der Hoffnung, dafür eine Belohnung zu kassieren.

Facebook verweigerte Graham allerdings das "Kopfgeld" (Bug Bounty). Deswegen machte der Entwickler den Programmierfehler per Twitter bekannt: "Bug Bounty verweigert. Der nächste Schritt ist nun ein automatisches Tool zu bauen, das Massenentführung der Nutzerkonten ermöglicht. Ziemlich ernsthafte Schwachstelle, Facebook. Bitte fixen."

Angeblich wisse Steven Graham seit Jahren von dieser Sicherheitslücke. Instagram nutzt für den Großteil seiner Datenübertragung HTTP. Damit werden der Nutzername und die dazugehörige Accountnummer unverschlüsselt weitergegeben. Graham zeigt auf, dass die Informationen zwischen den Nutzer-iPhones und dem Dienst frei zugänglich übertragen werden.

Zwar werden die Anmeldeinformationen und Passwörter über eine sichere Verbindung ausgetauscht, aber die Konten können über den gleichen Cookie anderer ausgetauschter Informationen im selben Netz trotzdem geknackt werden. Und das ohne Neuanmeldung. "Sobald man einen Cookie hat, kann jedes Ziel damit authentifiziert werden, egal ob HTTPS oder HTTP", sagt Graham.

Durch das Cookie-Klau-Tool "Firesheep" wurde Facebook im Jahr 2010 dazu veranlasst, HTTPS-Verbindungen einzuführen. Die aktuelle Sicherheitslücke erinnert sehr an Firesheep. Graham will deswegen sein automatisches Tool zum Ausspähen der Nutzerdaten, das er zuvor per Twitter ankündigte, Instasheep nennen.

Auf Hacker News erklärte nun Instagrams Mitbegründer Mike Krieger, dass die App gerade dabei sei, die HTTPS-Abdeckung auszubauen. Angeblich sollen Leistung, Stabilität und Nutzungserlebnis dabei nicht leiden. Bald schon soll das Projekt abgeschlossen sein. Ob auch die Android-App von der Schwachstelle betroffen ist, ist bisher unklar.

Mehr zum Thema

Whatsapp Alternative

Als Whatsapp Alternative mit sicher verschlüsselten Nachrichten eignen sich einige Apps. Wir stellen Ihnen Threema, Telegram und MyEnigma vor.
Snapshot-Alternative

Facebook hat die Foto-Video-Messaging-App Slingshot veröffentlicht. Die Alternative zu Snapshot ist jetzt auch in Deutschland für iOS und Android als…
Mehr Transparenz und Kontrolle

Facebook ändert ab dem 1. Januar 2015 verschiedene Nutzungsbedingungen. Wir haben die wichtigsten Änderungen für Sie zusammengefasst.
Verbraucherzentrale reicht's

Die neuen Facebook-Nutzungsbedingungen verstoßen laut Verbraucherschützern gegen deutsches Recht. Der Verbraucherzentrale Bundesverband mahnt Facebook…
Warnung von Verbraucherzentrale

Vorsicht bei der Nutzung von Whatsapp: Spammer versuchen aktuell Nutzer des Messengers über Werbe-Nachrichten in eine Abofalle zu locken. Ein falscher…