Дослідник із безпеки Лаксман Мутія (Laxman Muthiyah) повідомив про критичну уразливість в мобільному додатку Instagram. Експлуатація уразливості дозволяла скинути пароль для всіх облікових записів Instagram і отримати повний контроль над ними.
“Скидання пароля” або “відновлення пароля” – функція, що дозволяє користувачам відновити доступ до свого облікового запису на web-сайті, якщо вони забули свій пароль. У Instagram користувачі повинні підтвердити секретний шестизначний код (термін дії якого закінчується через 10 хвилин), відправлений на відповідний номер мобільного телефону або адресу електронної пошти, щоб підтвердити свою особу.
За допомогою атаки методом перебору можна розблокувати будь-який обліковий запис в Instagram, використавши одну з мільйона можливих комбінацій, але в Instagram ввімкнено обмеження швидкості для запобігання таких атак. Експерт знайшов спосіб обійти обмеження шляхом відправлення брутфорс запитів з різних IP-адрес.
В реальній ситуації зловмисникові потрібно 5000 IP-адрес для зламу облікового запису. На перший погляд це складне завдання, але легко здійсненне, якщо використовувати хмарні сервіси, такі як Amazon чи Google. Вся атака обійдеться приблизно в $150, пояснив експерт.
Лаксман Мутія опублікував демонстраційний експлойт для цієї уразливості. За інформацію про неї компанія виплатила досліднику суму в розмірі $ 30 000 у межах програми винагороди за знайдені уразливості.
До речі, Ви знаєте, що таке NFC, які має переваги і особливості? Адже сьогодні вона є головною бездротовою технологією завдяки поширенню систем безконтактних платежів.
Також фахівці Check Point виявили новий вид шкідливого ПЗ для Android, який встиг заразити більше 25 млн пристроїв.
Стало відомо, що Facebook вбудовує приховані коди в фотографії, завантажені користувачами на сайт. Компанія може відстежувати пов’язану з ними активність і використовувати ці дані для таргетованої реклами.
Окрім цього, Команда дослідників, в яку увійшли представники чотирьох університетів США, вивчили технологію Secure Encrypted Virtualization (SEV) від компанії AMD і виявили, що при певних обставинах зловмисники можуть обійти її захист.