Abo
  • IT-Karriere:

iPhone-App: Sicherheitslücke bei Instagram

Der Hacker Steven Graham hat einen Programmierfehler beim Foto-Sharing-Dienst Instagram gefunden. Um Druck auf das Mutterunternehmen Facebook zu machen, droht er nun mit einem Hackerangriff.

Artikel veröffentlicht am , Thorsten Schröder
Im WLAN kann Instagram gehackt werden.
Im WLAN kann Instagram gehackt werden. (Bild: Elise Pearce/Getty Images)

Der Foto-Sharing-Dienst Instagram hat offenbar eine Sicherheitslücke, bei der über öffentliche WLAN-Netze auf Profile der Nutzer zugegriffen werden kann. Dies hat der Londoner Entwickler Steven Graham herausgefunden und dem Instagram-Mutterkonzern Facebook mitgeteilt - in der Hoffnung, eine Belohnung zu bekommen. Weil ihm das Bug Bounty genannte Kopfgeld von Facebook verweigert wurde, machte er den Programmierfehler am Sonntag per Twitter publik: "Bug Bounty verweigert. Der nächste Schritt ist nun ein automatisches Tool zu bauen, das Massenentführung der Nutzerkonten ermöglicht. Ziemlich ernsthafte Schwachstelle, Facebook. Bitte fixen."

Stellenmarkt
  1. Universität Passau, Passau
  2. CBM Christoffel-Blindenmission Deutschland e.V., Bensheim

Graham wisse seit Jahren von dieser Sicherheitslücke. Hintergrund ist, dass Instagram für den Großteil seiner Datenübertragung HTTP benutzt, womit der Nutzername und die dazugehörige Accountnummer unverschlüsselt weitergegeben werden. Wie Graham aufzeigt, werden auch andere Informationen zwischen den iPhones der Instagram-Nutzer und dem Dienst frei zugänglich übertragen. Auch wenn die Anmeldeinformationen inklusive Passwörtern über eine sichere Verbindung ausgetauscht werden, können die Konten über den gleichen Cookie anderer ausgetauschter Informationen im selben Netz - ohne Neuanmeldung - geknackt werden. "Sobald man einen Cookie hat, kann jedes Ziel damit authentifiziert werden, ob HTTPS oder HTTP", sagt Graham.

Hacking-Tool soll Instasheep heißen

Die Sicherheitslücke erinnert an das Cookie-Klau-Tool Firesheep, das Facebook im Jahr 2010 dazu veranlasste, HTTPS-Verbindungen einzuführen. Deswegen will Graham sein per Twitter angekündigtes automatisches Tool zum Ausspähen der Nutzerdaten nun Instasheep nennen.

Instagrams Mitbegründer Mike Krieger erklärte unterdessen auf Hacker News, die Foto-App sei gerade dabei, ihre HTTPS-Abdeckung auszuweiten. Dabei sollten jedoch Leistung, Stabilität und Nutzungserlebnis nicht leiden. Das Projekt soll bald abgeschlossen sein. Ob die Schwachstelle auch die Android-App betrifft, blieb laut Heise vorerst unklar.

Seit den Enthüllungen durch Edward Snowden haben große Internetunternehmen ihre Angebote nach und nach verschlüsselt. Noch gebe es aber Lücken, oder der Zugang zu verschlüsselten Webseiten müsse explizit ausgewählt werden.



Anzeige
Hardware-Angebote
  1. (Samsung 970 EVO PLus 1 TB für 204,90€ oder Samsung 860 EVO 1 TB für 135,90€)
  2. 269,90€
  3. (reduzierte Überstände, Restposten & Co.)

eizi 30. Jul 2014

ARP-Spoofing oder gar in einem offenen WLAN die Karte im MonitorMode laufen lassen und...

OnlineGamer 30. Jul 2014

Wer sich da einklinkt ist doch selber Schuld! Sich damit zu brüsten eine App gefunden zu...


Folgen Sie uns
       


E-Trofit elektrifiziert Dieselbusse - Bericht

Die Ingolstädter Firma E-Trofit elektrifiziert Dieselbusse. Golem.de hat sich die Umrüstung vorführen lassen.

E-Trofit elektrifiziert Dieselbusse - Bericht Video aufrufen
Vision 5 und Epos 2 im Hands on: Tolinos neue E-Book-Reader-Oberklasse ist gelungen
Vision 5 und Epos 2 im Hands on
Tolinos neue E-Book-Reader-Oberklasse ist gelungen

Die Tolino-Allianz bringt zwei neue E-Book-Reader der Oberklasse auf den Markt. Der Vision 5 hat ein 7 Zoll großes Display, beim besonders dünnen Epos 2 ist es ein 8-Zoll-Display. Es gibt typische Oberklasse-Ausstattung - und noch etwas mehr.
Ein Hands on von Ingo Pakalski

  1. Tolino Page 2 Günstiger E-Book-Reader erhält Displaybeleuchtung

IT-Freelancer: Paradiesische Zustände
IT-Freelancer
Paradiesische Zustände

IT-Freiberufler arbeiten zeitlich nicht mehr als ihre fest angestellten Kollegen, verdienen aber doppelt so viel wie sie. Das unternehmerische Risiko ist in der heutigen Zeit für gute IT-Freelancer gering, die Gefahr der Scheinselbstständigkeit aber hoch.
Von Peter Ilg

  1. Change-Management Die Zeiten, sie, äh, ändern sich
  2. IT-Jobs Der Amtsschimmel wiehert jetzt agil
  3. MINT Werden Frauen überfördert?

Rabbids Coding angespielt: Hasenprogrammierung für Einsteiger
Rabbids Coding angespielt
Hasenprogrammierung für Einsteiger

Erst ein paar einfache Anweisungen, dann folgen Optimierungen: Mit dem kostenlos erhältlichen PC-Lernspiel Rabbids Coding von Ubisoft können Jugendliche und Erwachsene ein bisschen über Programmierung lernen und viel Spaß haben.
Von Peter Steinlechner

  1. Transport Fever 2 angespielt Wachstum ist doch nicht alles
  2. Mordhau angespielt Die mit dem Schwertknauf zuschlagen
  3. Bus Simulator angespielt Zwischen Bodenschwelle und Haltestelle

    •  /