iPhone-App
Instagram mit Sicherheitslücke
Ein Hacker hat bei Instagram eine Sicherheitslücke gefunden. Nach einer abgelehnten Belohnung droht er Facebook mit einem Angriff, um den Druck zu erhöhen.
Durch die Sicherheitslücke, die der Foto-Sharing-Dienst Instagram hat, können über öffentliche WLAN-Netze auf Nutzerprofile zugegriffen werden. Steven Graham, ein Londoner Entwickler, hat dies herausgefunden und dem Mutterkonzern Facebook gemeldet - auch mit der Hoffnung, dafür eine Belohnung zu kassieren.
Facebook verweigerte Graham allerdings das "Kopfgeld" (Bug Bounty). Deswegen machte der Entwickler den Programmierfehler per Twitter bekannt: "Bug Bounty verweigert. Der nächste Schritt ist nun ein automatisches Tool zu bauen, das Massenentführung der Nutzerkonten ermöglicht. Ziemlich ernsthafte Schwachstelle, Facebook. Bitte fixen."
Angeblich wisse Steven Graham seit Jahren von dieser Sicherheitslücke. Instagram nutzt für den Großteil seiner Datenübertragung HTTP. Damit werden der Nutzername und die dazugehörige Accountnummer unverschlüsselt weitergegeben. Graham zeigt auf, dass die Informationen zwischen den Nutzer-iPhones und dem Dienst frei zugänglich übertragen werden.
Zwar werden die Anmeldeinformationen und Passwörter über eine sichere Verbindung ausgetauscht, aber die Konten können über den gleichen Cookie anderer ausgetauschter Informationen im selben Netz trotzdem geknackt werden. Und das ohne Neuanmeldung. "Sobald man einen Cookie hat, kann jedes Ziel damit authentifiziert werden, egal ob HTTPS oder HTTP", sagt Graham.
Durch das Cookie-Klau-Tool "Firesheep" wurde Facebook im Jahr 2010 dazu veranlasst, HTTPS-Verbindungen einzuführen. Die aktuelle Sicherheitslücke erinnert sehr an Firesheep. Graham will deswegen sein automatisches Tool zum Ausspähen der Nutzerdaten, das er zuvor per Twitter ankündigte, Instasheep nennen.
Auf Hacker News erklärte nun Instagrams Mitbegründer Mike Krieger, dass die App gerade dabei sei, die HTTPS-Abdeckung auszubauen. Angeblich sollen Leistung, Stabilität und Nutzungserlebnis dabei nicht leiden. Bald schon soll das Projekt abgeschlossen sein. Ob auch die Android-App von der Schwachstelle betroffen ist, ist bisher unklar.
Weiter zur Startseite
