Un ricercatore indipendente ha individuato una falla nella sicurezza del sistema di recupero della password dell’app mobile di Instagram che avrebbe potuto consentire ai criminali di entrare negli account degli utenti.
Il difetto, scoperto e riportato dal ricercatore indiano Laxman Muthiyah, è stato risolto da Facebook, l’azienda proprietaria di Instagram, che per premiare lo studio dell’esperto lo ha ricompensato con 30.000 dollari.
Muthiyah, che ha già al suo attivo diverse altre segnalazioni di bug su Facebook, ha confidato di aver intrapreso quest’ultima ricerca incentivato dalla recente decisione del social network di aumentare i compensi per chi scopre vulnerabilità nell’accesso agli account. C’è da segnalare che la funzione per ripristinare la password di Instagram basata su interfaccia Web non presenta lo stesso problema.
Come descritto in questo post e dimostrato in un video proof-of-concept , la falla di sicurezza interessava il sistema di Instagram per poter recuperare l’accesso al proprio account nel caso in cui si fosse dimenticata dimenticato la password.
Durante il processo di ripristino della password, si riceve un codice di sei cifre sul numero di telefono definito per il recupero che verrà chiesto dall’app come metodo per convalidare l’identità. Il codice scade dopo 10 minuti e Instagram dispone di ulteriori misure di sicurezza al fine di sventare attacchi brute force che cercano di individuarlo provando tutte le possibili combinazioni, considerando che con sei cifre da 0 a 9, non ci sarebbero più di un milione di possibilità da provare.
Tuttavia, Muthiyah ha dimostrato che il processo potrebbe essere ingannato.
La nota positiva è che il famoso servizio di condivisione di foto mette un limite al numero di tentativi che possono essere fatti da un particolare indirizzo IP all’interno della finestra di 10 minuti, di conseguenza, Muthiyah inizialmente scoprì che solo 250 delle 1000 richieste che aveva inviato venivano processate, mentre il resto finiva bloccato dai limiti temporali.
Tuttavia, si è reso conto che “è stato in grado di inviare richieste ininterrottamente senza essere bloccato”, anche se il numero di richieste inviate in un lasso di tempo era effettivamente limitato.
“Dopo alcuni giorni di test continui, ho trovato due cose che mi hanno permesso di aggirare il loro meccanismo di limitazione della velocità”, tra cui “L’invio di richieste simultanee con più IP mi ha permesso di inviarne un gran numero senza essere limitato”, ha affermato.
In breve, Muthiyah ha sfruttato 1000 indirizzi IP da servizi basati in cloud per il suo attacco e ha provato 200000 combinazioni di codici con un account di prova.
“In uno scenario reale, l’attaccante ha bisogno di 5000 IP per hackerare un account. Sembra un numero molto elevato, ma in realtà è facile se si utilizza un provider di servizi in cloud come Amazon o Google. Sferrare un attacco completo coprendo un milione di codici costerebbe circa 150 dollari “, afferma lo stesso esperto, ricordando come solitamente gli attacchi brute force sfruttino le risorse delle botnet.
In conclusione, oltre a utilizzare una password complessa e unica per accedere (e non solo) al proprio account Instagram, è sempre meglio fare affidamento anche su un ulteriore livello di autenticazione, e la piattaforma ha recentemente migliorato le proprie opzioni di autenticazione a due fattori. Il mese scorso, il sito ha anche annunciato il test di un nuovo processo in-app per consentire agli utenti di ripristinare l’accesso agli account che sono stati violati dai criminali informatici.
Lascia un commento