Πρόσφατα απονεμήθηκαν 30.000 δολάρια σε ένα ερευνητή ασφάλειας ο οποίος ανακάλυψε μια σοβαρή ευπάθεια η οποία θα μπορούσε ενδεχομένως να έχει θέσει σε κίνδυνο παραβίασης οποιονδήποτε Instagram λογαριασμό.
Καθώς το Facebook και το Instagram προσφέρουν υψηλές αμοιβές σε όσους ανακαλύπτουν ευπάθειες στους λογαριασμούς τους, ένας Ινδός ερευνητής ασφαλείας, ο Laxman Muthiyah, επέλεξε να εξετάσει την πλατφόρμα του Instagram.
O Muthiyah διερεύνησε το κατά πόσον μπορεί να υπάρχει μια ευπάθεια στην διαδικασία με την οποία το Instagram χειρίζεται τα αιτήματα επαναφοράς του κωδικού πρόσβασης για τους χρήστες που έχουν τον έχουν ξεχάσει.
Ο ερευνητής διαπίστωσε ότι όταν οι χρήστες ζητούν επαναφορά του κωδικού πρόσβασης μέσω του link του Instagram, ο ιστότοπος στέλνει ένα email στον χρήστη.
Μετά από δοκιμές, ο Mutiyah δεν μπόρεσε να βρει κανένα κενό ασφαλείας στη διαδικασία και έτσι έστρεψε την προσοχή του στο πώς οι χρήστες των smartphones ανακτούν την πρόσβαση στους Instagram λογαριασμούς τους.
Αυτό που βρήκε ήταν ότι το Instagram δίνει την δυνατότητα χρήστες που έχουν κλειδωθεί να ζητήσουν την αποστολή ενός εξαψήφιου μυστικού κωδικού ασφαλείας στο κινητό τους τηλέφωνο ή στο email τους. Εάν εισαχθεί αυτός ο κωδικός πρόσβασης, ο χρήστης θα μπορέσει να ανακτήσει την πρόσβαση στον Instagram λογαριασμό του.
Θεωρητικά, εάν ένας χάκερ μπορούσε να αποκτήσει πρόσβαση στον εξαψήφιο κωδικό ασφαλείας, θα μπορούσε να σπάσει τον Instagram λογαριασμό (και να επαναφέρει τον κωδικό πρόσβασης κλειδώνοντας ταυτόχρονα τον νόμιμο κάτοχο).
Αυτός ο κωδικός πρόσβασης θα μπορούσε ενδεχομένως να κλαπεί εάν ένας χάκερ κατάφερνε να αποκτήσει πρόσβαση στον email λογαριασμό του θύματος ή αν είχε πάρει τον έλεγχο του κινητού τηλεφώνου του θύματός του μέσω της μεθόδου SIM swap scam. Ωστόσο, ο Mutiyah αναρωτήθηκε αν θα μπορούσε να υπάρξει και άλλος τρόπος να σπάσει κάποιος έναν λογαριασμό στην περίπτωση που καμία από τις επιλογές αυτές δεν είναι διαθέσιμη.
Ο Mutiyah συνειδητοποίησε ότι το μόνο που αρκεί να κάνει ο χάκερ είναι να δώσειι τον σωστό εξαψήφιο κωδικό – που είναι ένας οποιοσδήποτε συνδυασμός μεταξύ 000000 και 999999 – πριν εκπνεύσουν τα δέκα λεπτά που ο συγκεκριμένος κωδικός είναι αποδεκτός από το σύστημα.
Για τον αριθμό των ψηφίων αυτών απαιτούνται περίπου ένα εκατομμύριο αριθμοί που πρέπει να εισαχθούν μέσα σε δέκα λεπτά, για να είναι εφικτή η αλλαγή του κωδικού ενός Instagram λογαριασμού.
Μέσω των likes του Instagram μπορεί να τρέξει ένας κώδικας με τον οποίο να δίνονται ταχύτατα διάφοροι συνδυασμοί του κωδικού μέχρι να βρεθεί ο σωστός. Ως τρόπο άμυνας, η πλατφόρμα έχει την δυνατότητα να ανιχνεύσει την κίνηση αυτή και επιβραδύνει διαρκώς τις επόμενες προσπάθειες μέχρις ότου λήξει το χρονικό διάστημα των δέκα λεπτών.
Στις δοκιμές του ο Mutiyah είδε ότι, από τις 1000 προσπάθειες που έστειλε για να μαντέψει τον κωδικό ασφαλείας ενός Instagram λογαριασμού, είχε άμεση απάντηση στις 250 ενώ στις επόμενες 750 η απάντηση καθυστερούσε.
Ωστόσο, μετά από μερικές επιπλέον ημέρες δοκιμής, ο ερευνητής κατάφερε να ανακαλύψει ότι ο μηχανισμός καθυστέρησης της απάντησης του Instagram θα μπορούσε να παρακαμφθεί εάν άλλαζε η IP διεύθυνση του υπολογιστή που έστελνε το αίτημα (με άλλα λόγια, να μην χρησιμοποιεί τον ίδιο υπολογιστή για να προτείνει τον κώδικα ανάκτησης)
«Η αποστολή ταυτόχρονων αιτημάτων χρησιμοποιώντας διαφορετικές IP διευθύνσεις μου επέτρεψε να στείλω ένα μεγάλο αριθμό αιτήσεων χωρίς χρονικό περιορισμό στην απάντηση. Ο αριθμός των αιτημάτων που μπορούμε να στείλουμε εξαρτάται από τον αριθμό των ταυτόχρονων αιτήσεων και τον αριθμό των IP διευθύνσεων που χρησιμοποιούμε. Δεδομένου ότι ο κωδικός λήγει σε 10 λεπτά, αυτό κάνει την επίθεση ακόμη πιο δύσκολη. Τελικά χρειαστήκαμε γύρω στις 1.000 IPs για να ολοκληρώσουμε την επίθεση.»
Ο Mutiyah λέει ότι χρησιμοποίησε 1.000 διαφορετικές μηχανές και IPs για να πετύχει την επίθεση και στις δοκιμές του έστειλε περίπου 200.000 αιτήματα. Δημιούργησε μάλιστα και ένα YouTube βίντεο για να αποδείξει την επίθεση του.
Φυσικά, ο αριθμός των 200.000 αιτημάτων απέχει πολύ από το 1 εκατομμύριο που είναι ο αριθμός των συνδυασμών που απαιτείται για να καλυφθούν όλα τα ψηφία του κωδικού.
Η έρευνα του Mutiyah καταλήγει στο συμπέρασμα ότι σε μια πραγματική επίθεση θα χρειαστούν περίπου 5.000 IP διευθύνσεις για την επιτυχία της επίθεσης. Αν και αυτό ακούγεται σαν ένας μεγάλος αριθμός, αυτό μπορεί πράγματι να επιτευχθεί εύκολα με χαμηλό σχετικά κόστος (ο Mutiyah λέει το κόστος μπορεί να είναι και γύρω στα 150 δολλάρια αν χρησιμοποιηθεί εάν χρησιμοποιηθεί ένας cloud provider όπως η Google ή η Amazon).
Είναι εύκολο να φανταστεί κανείς ότι μια τέτοια τεχνική θα κινήσει το ενδιαφέρον σε πολλούς χάκερ που θα ήθελαν να αποκτήσουν πρόσβαση σε Instagram λογαριασμούς και θα ήταν διατεθειμένοι να πληρώσουν περισσότερα από τα 30.000 δολλάρια που έλαβε ο Muthiyah ως ανταμοιβή.
Σας υπενθυμίζουμε ότι είναι απαραίτητο να ασφαλίζετε τους λογαριασμούς σας με ισχυρούς και κωδικούς πρόσβασης και για να ενεργοποιείτε όπου είναι δυνατό ττην μέθοδο της two-factor authentication.
πηγη: www.bitdefender.gr