被Facebook拒絕支付賞金后,白帽子編寫大規模攻擊工具
責編:admin |2014-08-04 14:01:04前兩天,國外媒體報道了最流行的圖像和視頻分享服務Instagram手機應用的重大安全問題,攻擊者可以劫持用戶帳戶,可以獲得私人照片,刪除受害者的照片,編輯評論,或者發布新照片。
昨天,在倫敦開發者史蒂夫·格雷厄姆(Stevie Graham)發布了一款名為“Instasheep”的工具,這個名字來自2010年一款叫做“Firesheep”的Firefox拓展,它可以用來竊取Facebook等社交網站的賬號信息,該插件能在用于對與攻擊者同處一個網絡下的會話劫持。
格雷厄姆幾年前發現了Instagram的問題,他吃驚地發現Facebook也沒有修復該問題。他聲稱Facebook拒絕為這個影響iOS應用的漏洞向他支付賞金,而后他發布了該工具。
格雷厄姆在其推特上說:“我被拒絕支付賞金。那么我的下一步是編寫能夠大規模劫持賬號的自動化工具”他寫道,“這是個相當嚴重的漏洞,請Facebook修復。”
有報道稱社交網絡巨頭Facebook已知曉有關Instagram iOS應用的問題,并正在努力修復,Facebook打算使用HTTPS協議,但仍不清楚要花多久修復漏洞。
漏洞可能使iOS應用的用戶受到中間人(MITM)攻擊,因為Instagram會發送一些含有會話cookie的未加密數據。然后,攻擊者可以在其他系統上/瀏覽器上利用這些截獲的HTTP會話cookie劫持受害者的Instagram帳戶。
“我不認為這個漏洞的使用障礙很高。只需要足夠水平的技術人員就能夠利用,漏洞利用相當簡單,甚至是腳本小子也可以使用。此刻潘多拉的盒子已經被炸得四分五裂!”格雷厄姆在YCombinator寫道。
Instagram聯合創始人Mike Krieger(邁克·克里格)已經通過相同的YCombinator網站回應了這個問題,并表示,“我們一直在穩步增加對于HTTPS協議的支持,例如我們在2013年底推出的Instagram Direct,全部使用HTTPS進行會話。對于應用程序,尤其是對于延遲敏感的main feed功能和其它重要的瀏覽體驗,我們正在積極努力推出了HTTPS,同時要確保不會損失性能,穩定性和用戶體驗。這是我們希望能夠盡快完成的一個項目,我們將在開發博客上分享我們的經驗,以便讓其他公司借鑒一下。”