info[at]nsec.ir
(+۹۸)-۳۱-۳۳۹۱۵۳۳۶

امکان دسترسی به حساب میلیون‌های کاربر اینستاگرام به دلیل ضعف امنیتی

خلاصه: یک ضعف امنیتی در بازیابی رمز عبور اینستاگرام امکان دسترسی به حساب افراد مختلف را فراهم می‌نمود. این آسیب‌پذیری به اینستاگرام گزارش شده و برطرف شده است. محقق امنیتی که این ضعف را کشف نموده نیز ده هزار دلار جایزه دریافت نموده است.

 

یک محقق امنیتی که توانسته بود ماه پیش یک نقص امنیتی در اینستاگرام پیدا کرده و به وسیله آن اینستاگرام را هک کند، به تازگی نقصی دیگر در ساختار بازیابی رمز این شبکه اجتماعی پیدا کرده که با استفاده از آن می‌توان هر حسابی را هک کرد.

هنگامی که کاربر درخواست بازیابی رمز عبور برای سرور ارسال می‌کند، همراه با درخواست کاربر، یک شناسه تصادفی به نام DeviceID همراه درخواست فرستاده می‌شود. پس از آن سرور یک ایمیل با یک کدرمز شش رقمی برای کاربر ارسال می‌کند. پس از اینکه کاربر این کد را در برنامه وارد کرد، این کد و شناسه DeviceID برای سرور فرستاده می‌شود و سرور با بررسی کدرمز و DeviceID اصالت کاربر را تایید می‌کند.

همانطور که گفته شد DeviceID یک شناسه اتفاقی است که به وسیله اپلیکیشن انتخاب می‌شود، ولی چه اتفاقی می‌افتد اگر یک DeviceID  برای بازیابی رمز چندین حساب استفاده شود؟

یک میلیون احتمال برای انتخاب کدرمز شش رقمی وجود دارد (۰۰۰۰۰۱-۹۹۹۹۹۹). هنگامی که درخواست بازیابی رمز برای چندین حساب فرستاده می‌شود، احتمال هک حساب‌ها بالا می‌رود. مثلا اگر برای صدهزار حساب درخواست بازیابی‌رمز با یک DeviceID ارسال شود، احتمال موفقیت ده درصد است، چون صدهزار کدرمز به یک DeviceID متصل شده است. اگر تعداد درخواست‌ها به یک میلیون برسد، می‌توان تمام یک میلیون حساب را با اضافه کردن یک به یک کد رمز هک کرد. بنابراین با یک میلیون تعداد درخواست، مهاجم می‌تواند به موفقیت صددرصدی برسد.

هر چند در این حمله هک باید در ده دقیقه انجام شود، زیرا در ساختار بازیابی رمز اینستاگرام، تاریخ انقضای درخواست ده دقیقه است و اگر پس از آن کدرمز فرستاده شود، درخواست پذیرفته نمی‌شود. اما این‌کار به دشواری که به نظر می‌رسد نیست و می‌توان به راحتی از چندین نمونه ماشین ابری مجزا استفاده کرد.

پس از ارسال این نقص به مدیران اینستاگرام، هم‌اکنون این نقص به وسیله تیم امنیتی اینستاگرام حل شده است و محقق امنیتی که این مساله را کشف نموده نیز جایزه ده‌هزار دلاری برای این گزارش دریافت کرده است.