被Facebook拒绝支付赏金后,白帽子编写大规模攻击工具

  前两天,国外媒体报道了最流行的图像和视频分享服务Instagram手机应用的重大安全问题,攻击者可以劫持用户帐户,可以获得私人照片,删除受害者的照片,编辑评论,或者发布新照片。

  昨天,在伦敦开发者史蒂夫·格雷厄姆(Stevie Graham)发布了一款名为“Instasheep”的工具,这个名字来自2010年一款叫做“Firesheep”的Firefox拓展,它可以用来窃取Facebook等社交网站的账号信息,该插件能在用于对与攻击者同处一个网络下的会话劫持。

  格雷厄姆几年前发现了Instagram的问题,他吃惊地发现Facebook也没有修复该问题。他声称Facebook拒绝为这个影响iOS应用的漏洞向他支付赏金,而后他发布了该工具。

  格雷厄姆在其推特上说:“我被拒绝支付赏金。那么我的下一步是编写能够大规模劫持账号的自动化工具”他写道,“这是个相当严重的漏洞,请Facebook修复。”

  有报道称社交网络巨头Facebook已知晓有关Instagram iOS应用的问题,并正在努力修复,Facebook打算使用HTTPS协议,但仍不清楚要花多久修复漏洞。

  漏洞可能使iOS应用的用户受到中间人(MITM)攻击,因为Instagram会发送一些含有会话cookie的未加密数据。然后,攻击者可以在其他系统上/浏览器上利用这些截获的HTTP会话cookie劫持受害者的Instagram帐户。

  “我不认为这个漏洞的使用障碍很高。只需要足够水平的技术人员就能够利用,漏洞利用相当简单,甚至是脚本小子也可以使用。此刻潘多拉的盒子已经被炸得四分五裂!”格雷厄姆在YCombinator写道。

  Instagram联合创始人Mike Krieger(迈克·克里格)已经通过相同的YCombinator网站回应了这个问题,并表示,“我们一直在稳步增加对于HTTPS协议的支持,例如我们在2013年底推出的Instagram Direct,全部使用HTTPS进行会话。对于应用程序,尤其是对于延迟敏感的main feed功能和其它重要的浏览体验,我们正在积极努力推出了HTTPS,同时要确保不会损失性能,稳定性和用户体验。这是我们希望能够尽快完成的一个项目,我们将在开发博客上分享我们的经验,以便让其他公司借鉴一下。”

 

上一篇:智能无惧挑战 山石网科轰动RSA2015

下一篇:跟我学姿势:极客教你如何科学的刷卡