29.07.2014
Ungesicherte Anmeldung
Instagram-App verrät Nutzerdaten
Autor: Robert Schanze
Foto: Instagram
Angreifer können Instagram-Konten übernehmen, wenn Nutzer sich mit der Instagram-App in ihren Account einloggen. Ursache ist eine ungesicherte HTTP-Übertragung der Nutzerdaten.
Wer Instagram unterwegs per App nutzt, sollte aufpassen. Der Sicherheitsspezialist Mazin Ahmed hat auf seinem Blog dokumentiert, wie Instagram-Accounts leicht von Angreifern übernommen werden können.
Dazu hat Mazin Ahmed die WLAN-Datenübertragung zwischen seinem Smartphone und Instagram aufgezeichnet mit Hilfe der Software Wireshark. Daraufhin fand er in der Übertragung Session-Cookies, seinen Benutzernamen und seine Benutzer-ID, die nach dem Instagram-Login unverschlüsselt über das ungesichterte HTTP-Protokoll übertragen wurden.
Anschließend war es ihm mit diesen Daten möglich seinen eigenen Instagram-Account auf seinem PC zu übernehmen. Als er Facebook – den Inhaber von Instagram – auf die Sicherheitslücke hinwies, antwortete Facebook, dass dies bereits bekannt ist und "Facebook im Moment die Risiken der Datenübertragung über HTTP akzeptiert". Eine Lösung erfolge irgendwann in der Zukunft.
Angreifer, die auf dem von Mazin Ahmed beschriebenen Weg vorgehen, könnten Instagram-Accounts manipulieren oder löschen. Daher warnt der Sicherheitsspezialist davor die Instagram-App zu nutzen und empfiehlt sich über die normale Webseite einzuloggen, da Nutzerdaten dort verschlüsselt übertragen werden. Dies sollten Nutzer zumindest so lange tun, bis Facebook einen Patch für die Sicherheitslücke veröffentlicht.
Swisscom
Neue Cyberbedrohungen auf dem Radar
Der neue Cyber Security Threat Radar von Swisscom zeigt die Angriffsmethoden und das Vorgehen von Cyberkriminellen. Er beleuchtet neu auch die Entwicklungen in den Bereichen "Disinformation & Destabilisation", "Manipulated Generative AI" und "Unsecure IoT/OT-Devices".
>>
Zum Welt-Passwort-Tag
"95 % der Cyber-Sicherheitsprobleme sind auf menschliche Fehler zurückzuführen"
Am 2. Mai ist Welt-Passwort-Tag. Ein guter Anlass für den Frühlingsputz bei alten Logins und ein grundsätzliches Überdenken der eigenen Cybersecurity. Miro Mitrovic von Proofpoint gibt dazu einige konkrete Tipps.
>>
EU-Entscheidung
Apple muss auch das iPad für alternative App-Stores öffnen
Nachdem die EU-Kommission bereits die Öffnung der iPhones für alternative Anbieter von App-Stores erzwungen hat, muss Apple dies nun auch auf dem iPad ermöglichen.
>>
Letzte Hürde genommen
USB-C kommt als einheitlicher Ladestandard
Nach dem Bundestag hat auch der Bundesrat einer EU-Richtlinie zugestimmt, die USB-C als einheitlichen Anschluss zum Laden von Elektrogeräten festlegt.
>>