Позволявший взламывать Instagram по Wi-Fi баг устранят благодаря шантажу

Facebook исправит баг, несколько лет просуществовавший в коде приложения Instagram для iOS и позволявший взламывать аккаунты фотосервиса при подключении пользователя к открытой сети Wi-Fi. Защита приложения будет усилена, а всю его работу переведут на более безопасный HTTPS-протокол, сообщил сооснователь Instagram Майк Кригер (Mike Krieger).

Впервые об уязвимости рассказал разработчик из Лондона Стиви Грэм (Stevie Graham). Описание бага появилось в его твиттере 27 июля.

Как удалось обнаружить программисту, частично мобильное приложение Instagram для iOS ещё использует небезопасное HTTP-соединение.

Опасность возникает тогда, когда пользователь открывает приложение фотосервиса на своём айфоне, подключаясь к публичной Wi-Fi-сети. В это время, знающий о баге злоумышленник может подключиться к той же сети, найти незащищённый смартфон и взломать аккаунт, привязанный к приложению.

По словам Грэма, он знал о существовании уязвимости несколько лет и даже писал об этом сообщения в новостном разделе сайта Y Combinator.

Самим багом, утверждает разработчик, он не пользовался. Вспомнив о нём лишь недавно, Грэм решил проверить, устранили ли его из приложения и выяснил, что уязвимость всё ещё не исправлена.

Молодой человек отправил отчёт о своей находке в Instagram и Facebook (соцсеть владеет фотоприложением) в надежде получить полагающееся в таких случаях денежное вознаграждение.

Представители компаний отказались выплатить Стиви Грэму деньги. В Facebook отметили, что ранее уже получали сообщения о наличии подобной уязвимости и «работают над её устранением».

Возмущённый таким поворотом событий и тем, что специалисты сервисов за долгие годы так и не смогли исправить столь серьёзный баг, Стиви Грэм пообещал выложить в сеть созданную им специальную программу Instasheep, позволявшую использовать уязвимость для взлома аккаунтов.

I hope @instagram gets around to patching the hole before I get around to releasing this tool… pic.twitter.com/wWCCoA3WS5

— Stevie Graham (@stevegraham) July 28, 2014

Только после этих угроз в комментариях к новому посту Грэма на Y Combinator появились сообщения сооснователя Instagram Майка Кригера.

Кригер подтвердил, что компания действительно долго не могла исправить баг и затянула с переводом Instagram на HTTPS-протокол. Представитель фотосервиса пообещал устранить уязвимость в ближайшее время и рассказать об этом отдельно.

В то же время, подчеркнул Кригер, все новые функции Instagram — например, запущенный в 2013 году для обмена фотографиями между пользователями Instagram Direct — уже давно работают на защищённом HTTPS-протоколе и не могут быть взломаны указанным Грэмом способом.

Вечером 29 июля в App Store вышло обновление для Instagram. В описании обновления сказано, что в приложении устранены незначительные баги, но какие именно, не уточняется. TJournal не удалось оперативно получить комментарий представителей Facebook и Instagram.