Dịch vụ chia sẻ ảnh Instagram mới đây đã vá một lỗ hổng nghiêm trọng có thể cho phép tin tặc xâm phạm bất kỳ tài khoản Instagram nào mà không yêu cầu tương tác từ người dùng.
Instagram đang phát triển nhanh chóng, đạt vị thế là một trong những mạng truyền thông xã hội phổ biến nhất thế giới chỉ sau Facebook. Ứng dụng chia sẻ hình ảnh này hiện đang hoàn toàn chiếm ưu thế khi nói đến mức độ tham gia và tương tác của người dùng.
Mặc dù đã có các cơ chế bảo mật tiên tiến, các nền tảng lớn như Facebook, Google, LinkedIn và Instagram không phải là hoàn toàn miễn nhiễm với các hacker và vẫn chứa các lỗ hổng bảo mật nghiêm trọng.
Một số lỗ hổng gần đây đã được vá, một số lỗ hổng vẫn đang trong quá trình sửa chữa và còn nhiều lỗ hổng khác cho tới giờ vẫn chưa được phát hiện.
Lỗ hổng cho phép hacker kiểm soát tài khoản Instagram của người dùng
Chi tiết về một lỗ hổng nghiêm trọng như vậy tồn tại trong Instagram đang được lan truyền mạnh mẽ trên Internet. Được biết lỗ hổng này có thể cho phép kẻ tấn công từ xa đặt lại mật khẩu cho bất kỳ tài khoản Instagram nào và kiểm soát hoàn toàn tài khoản đó.
Thợ săn tiền thưởng lỗi người Ấn Độ Laxman Muthiyah đã báo cáo lỗ hổng cho Instagram. Lỗ hổng được báo cáo nằm trong cơ chế khôi phục mật khẩu được thực hiện bởi phiên bản di động của dịch vụ chia sẻ ảnh này.
“Password reset” (Đặt lại mật khẩu) hay “password recovery” (Khôi phục mật khẩu) là một tính năng cho phép người dùng lấy lại quyền truy cập vào tài khoản của họ trên một website trong trường hợp quên mật khẩu.
Trên Instagram, người dùng phải xác nhận passcode (mật mã) bí mật gồm sáu chữ số (hết hạn sau 10 phút) được gửi đến số điện thoại di động hoặc tài khoản email được liên kết của họ để chứng minh danh tính.
Điều đó có nghĩa một trong một triệu nhóm số kết hợp có thể mở khóa bất kỳ tài khoản Instagram nào bằng cách sử dụng các cuộc tấn công brute force (cuộc tấn công sử dụng tên người dùng, mật khẩu… để tự động kết hợp chúng với nhau cho đến khi chính xác).
Đương nhiên, thực tế không đơn giản như vậy, bởi vì Instagram đã kích hoạt rate limiting (giới hạn tỷ lệ) để ngăn chặn các cuộc tấn công dạng này.
Tấn công brute force tận dụng race condition
Tuy nhiên, Laxman nhận thấy rằng giới hạn tỷ lệ hoàn toàn có thể bỏ qua bằng cách gửi các yêu cầu brute force từ các địa chỉ IP khác nhau và tận dụng race condition (tình huống tương tranh), gửi các yêu cầu đồng thời để xử lý nhiều lần thử cùng lúc.
Như phần mô phỏng trong video trên, Laxman đã thực hiện thành công việc khai thác lỗ hổng để chiếm đoạt tài khoản Instagram bằng cách nhanh chóng thử 200.000 kết hợp mật mã khác nhau (20% tổng số) mà không hề bị chặn bởi hệ thống.
Trong một kịch bản tấn công thực sự, kẻ tấn công cần 5000 IP để hack tài khoản. Con số này nghe có vẻ lớn nhưng trên thực tế lại có thể thực hiện vô cùng dễ dàng nếu các hacker sử dụng một bên cung cấp dịch vụ đám mây như Amazon hoặc Google. Những kẻ này sẽ chỉ cần chi khoảng 150 đô la để thực hiện một cuộc tấn công hoàn chỉnh với một triệu mã số.
Laxman cũng đã phát hành một khai thác PoC cho lỗ hổng hiện đã được vá bởi Instagram. Công ty cũng đã trao cho Laxman phần thưởng trị giá 30.000 đô la như một phần của chương trình tiền thưởng lỗi.
Để bảo vệ tài khoản của người dùng tránh khỏi các cuộc tấn công trực tuyến, cũng như giảm khả năng bị xâm phạm khi kẻ tấn công nhắm trực tiếp vào các ứng dụng chứa lỗ hổng, người dùng được khuyến nghị kích hoạt “xác thực hai yếu tố” cho các tài khoản của mình càng sớm càng tốt.
Thao tác này có thể giúp ngăn chặn các hacker truy cập vào tài khoản của người dùng ngay cả khi chúng đánh cắp được mật khẩu.
Thêm bình luận