Celah keamanan Instagram memungkinkan penyerang menghapus foto dan mengambil alih akun

Instagram mungkin telah menjadi aplikasi berbagi foto yang paling populer dan paling banyak digunakan untuk platform iOS dan Android, tetapi sama seperti aplikasi lain, itu tidak sempurna. Bahkan, celah baru telah ditemukan baru-baru ini. Menurut para ahli, kelemahan keamanan Instagram yang baru memungkinkan penyerang untuk menghapus foto atau bahkan mengambil alih akun. Celah itu ditemukan di Instagram versi 3.1.2 yang berjalan di perangkat iOS.

Instagram API menggunakan koneksi HTTP dan HTTPS untuk mengirim permintaan dan data. Informasi sensitif seperti data pengeditan profil dan kredensial masuk sering dikirim melalui HTTPS karena merupakan saluran yang aman. Tetapi baru-baru ini ditemukan oleh orang-orang di reventlov.com bahwa beberapa data sebenarnya dikirim menggunakan saluran lain yang membuat rentan terhadap eksploitasi oleh beberapa penyerang yang mungkin tahu celah itu.

Jika data dikirim melalui saluran HTTP, satu-satunya bentuk otentikasi yang diperlukan adalah cookie standar yang sering dikirim tanpa enkripsi setiap kali pengguna memulai aplikasi Instagram. Penyerang yang mungkin berada di jaringan yang sama dengan iPhone atau iPad mungkin dapat mencegat data melalui serangan arpspoofing sederhana dan dapat mengeksploitasi informasi sesuai dengan keinginan mereka. Jika itu terjadi dan penyerang mungkin dapat mengautentikasi menggunakan informasi yang dicegat, mereka sudah memiliki akses akhir ke akun dan mereka dapat mengubah kredensial masuk kapan saja atau menghapus foto.

Orang-orang yang telah menemukan cacat itu mengumumkannya pada 10 November dan mereka menghubungi Instagram tentang hal itu sehari kemudian, tetapi yang mereka dapatkan hanyalah tanggapan otomatis. Hingga saat ini, masalah ini mungkin masih berlangsung sehingga pemilik perangkat iOS yang mungkin lebih sering menggunakan Instagram harus menggunakan saluran HTTPS sebagian besar kali, atau tidak pernah menggunakan sembarang titik akses WiFi terbuka.

Masalah ini mungkin hanya menyangkut Instagram tetapi lebih sering, penyerang tahu persis apa yang ditemukan untuk dapat memperoleh akses ke akun lain termasuk Facebook, Twitter dan bahkan email. Tindakan pencegahan harus diambil terutama oleh orang-orang yang mungkin menyimpan beberapa data sensitif pada perangkat mereka.

[sumber: Reventlov]