В приложении Instagram обнаружена уязвимость

Как выяснилось, мобильное приложение Instagram имеет досадную уязвимость: данные в нем не зашифрованы должным образом.

Компания Facebook, которой с некоторых пор принадлежит суперпопулярная соцсеть Instagram, как выяснилось, подвергает пользователей фотосервиса довольно серьезной угрозе. Дело в том, что получаемые и передаваемые мобильным приложением Instagram данные не шифруются должным образом, а значит, хранимая в программе пользовательская информация уязвима. Представители Facebook, правда, уже заявили о планах внедрения полноценного шифрования, но точной даты пока не назвали.

Суть уязвимости довольно проста: во время того как вы используете сервис Instagram на своем мобильном устройстве, злоумышленник, находящийся с вами в одной Wi-Fi-сети, при желании может перехватывать просматриваемые вами изображения, получить доступ к cookie и выудить оттуда ваши логин и имя аккаунта. Если все данные шифруются, прочитать их даже в случае полного перехвата будет практически невозможно.

«На данный момент Facebook осознает все риски, возникающие при работе Instagram с HTTP вместо HTTPS».

Информация о данной уязвимости стала достоянием общественности благодаря Мазену Ахмеду, специалисту по информационной безопасности в компании Defensive-Sec, который исследовал работу Android-версии приложения. Изучая получаемые и передаваемые программой данные, он заметил, что шифрованию подвергается не весь трафик, а лишь его часть. То есть внушительная часть данных, в том числе и приватных, передается в открытом виде, а значит, может быть без труда прочитана при условии перехвата. Мы связались с обнаружившим уязвимость специалистом и выяснили, что на данный момент исследованию подверглась лишь Android-версия приложения, но есть все основания полагать, что версия для iOS подвержена такому же риску, поскольку обе версии приложения используют для обмена данными один и тот же сервер.

Сразу после выявления уязвимости Ахмед сделал соответствующий пост в своем блоге, где в числе прочего написал о том, что он связался с представителями Facebook и даже получил от них ответ, правда, не самый обнадеживающий: «В Facebook данный вопрос подробно обсуждался, и мы планируем перевести весь Instagram на работу с HTTPS. На данный момент Facebook осознает все риски, возникающие при работе Instagram с HTTP вместо HTTPS. Мы в курсе проблемы и работаем над ее устранением в будущем». Мы также пытались связаться с представителями Facebook, но к моменту выхода этой статьи ответа от компании так и не получили.

Тем, кто по каким-то причинам беспокоится за неприкосновенность своего Instagram-трафика, Ахмед рекомендует воздержаться от использования мобильного приложения по крайней мере до тех пор, пока Facebook не воспримет проблему всерьез и не обеспечит полноценное шифрование передаваемым данным.

Советы

Как отключить слежку в iOS?

У вас есть iPhone, iPad или iPod? Потратьте несколько минут на настройку служб геолокации, чтобы сэкономить заряд батареи и сохранить конфиденциальность перемещений.