reynotch

reynotch

-
上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。
Posted by

reynotch

reynotch

-
 写真共有サービスInstagramにアカウントを持っている方は、アップロードした写真やコメントを確認した方がいいかもしれません。

 Facebookハッカーとして有名なNir GordshlagerがInstagramのOAuthに深刻な脆弱性があることを公開しました。

Hacking Instagram Accounts using OAuth vulnerability | thehackernews.com


 この脆弱性によりInstagramのアカウントが乗っ取られ、アップロードしているプライベートな写真を削除されたり、コメントを書き換えられたり、新しい写真をアップロードされたりする可能性があります。

 Nir Gordshlagerによると、この脆弱性によりアカウントをハックする2つの方法があるとのこと。
 
 実証コードも公開されており、そのひとつを試してみるとOAuth認証時にアクセストークンをbreaksecurityのサーバ経由で送らせようとしていることがわかります。



 ただし、この脆弱性はもう修正されているようで、この後リダイレクトには失敗します。
 
 また、もう一つの実証コードについても修正されているようで、Facebookの警告メッセージが表示されます。
 
 攻撃者がこの脆弱性を実際に悪用したかどうかは不明ですが、OAuth認証に脆弱性があるとそれを利用した利用者全員にアカウント乗っ取りのリスクが生じます。利用者としては、OAuth認証を利用しない以外には対処法がありませんがそれはあまりにも不便です。
 
 Instagram、Facebookにかぎらず、OAuth認証を提供しているサービスプロバイダには脆弱性を作りこまないようにしていただきたいものです。
上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。