x

Blog

هک اینستاگرام در ده دقیقه

خلاصه: نقص روی سرویس محبوب اینستاگرام موجب می‌شود تا هکرها بتوانند در کمتر از 10 دقیقه به حساب کاربری قربانی دست پیدا کنند. اینستاگرام برای کشف این باگ جایزه ۳۰ هزار دلاری پرداخت نموده است.

 

فیس‌بوک به تازگی وصله‌ای امنیتی متعلق به سرویس اشتراک گذاری عکس خود منتشر کرده است. این آسیب پذیری بحرانی که روی  سرویس محبوب اینستاگرام وجود داشته، این امکان را به هکر‌ها می‌دهد تا بدون هیچ تبادل درخواست و پاسخی با کاربران هدف، به حساب اینستاگرام آن‌ها دسترسی پیدا کنند.

در حال حاضر برخی از این آسیب‌پذیری‌ها برطرف شده است و برخی دیگر نیز در حال رفع می‌باشند. احتمال می‌رود که مواردی دیگر هنوز در این سرویس وجود داشته باشند که هنوز کشف نشده‌اند.

جزئیات یک چنین آسیب پذیری بحرانی اینستاگرام، در اینترنت منتشر شده است که می توانسد به مهاجم از راه دور اجازه بازنشانی رمز عبور را برای هر حساب کاربری دهد و به دنبال آن به تمام مشخصات عمومی و پروفایل کاربر هدف دسترسی یابد و بر آن کنترل کامل داشته باشد.

این آسیب پذیری در مکانیزم بازیابی رمز عبور یافت شده و روی نسخه تلفن همراه اینستاگرام قابل اجرا است.

"بازنشانی رمز عبور" یا "بازیابی رمز عبور" یک ویژگی است که به کاربران اجازه می‌دهد در صورتی که گذرواژه خود را فراموش کرده‌اند، دسترسی به حساب خود را بر روی وب سایت دوباره بدست آوردند.

دراینستاگرام کاربران باید یک کد رمز مخفی شش رقمی، که ده دقیقه پس از ارسال منقضی می‌شود، که از طرف اینستاگرام به شماره تلفن همراه یا ایمیل کاربر ارسال می‌شود، را وارد کنند تا احراز هویت خود را تایید نمایند. این بدان معنا است که یک ترکیب از یک ملیون ترکیب موجود می‌تواند به عنوان تایید کننده هویت فرد بکار رود. اما این به همین سادگی نیست و اینستاگرام در مقابل چنین سناریوهایی سعی کرده است مقابله کند.

با این حال، متخصصان دریافته‌اند که می‌توان با کار‌هایی نظیر درخواست‌های مکرر از آدرس آی‌پی‌های گوناگون و استفاده از شرایط خاص رقابتی و ارسال همزمان درخواست‌های پشت سر هم به منظور انجام تلاش‌های چندگانه مکرر، اینستاگرام را دور زده و به یک حساب وارد شوند. آنها با موفقیت نشان داده‌اند که می‌توان با سواستفاده از آسیب‌پذیری یاد شده برای کنترل بر حساب‌های اینستاگرامی، با امتحان کردن 200000 ترکیب مختلف از این 6 رقم ممکن ( تست20% ترکیب‌های ممکن) در عین مسدود نشدن، حمله موفقی داشته باشند.

برای محافظت از حساب‌های خود در برابر چنین نوع حملات آنلاینی و همچنین کاهش شانس برای درگیر شدن با چنین حملاتی که مهاجمان به صورت مستقیم آسیب پذیری های اپلیکیشن ها را هدف قرار می دهد، توصیه می شود تا کاربران قابلیت احراز اصالت دوعاملی را در حساب‌های کاربری خود فعال نمایند. با این کار می‌توان مانع از نفوذ به حساب کاربری، حتی در صورت دسترسی به کلمه عبور شد.

 

    

Persian English French German Russian Spanish
کلیه حقوق این سایت متعلق به مرکز تخصصی آپا دانشگاه صنعتی اصفهان می‌باشد. استفاده از مطالب تنها در صورت دریافت تاییدیه کتبی مجاز است.

تحت نظارت وف ایرانی