Nội dung
Dịch vụ chia sẻ ảnh Instagram mới đây đã vá một lỗ hổng nghiêm trọng có thể cho phép tin tặc xâm phạm bất kỳ tài khoản Instagram nào mà không yêu cầu tương tác từ người dùng.
Instagram đang phát triển nhanh chóng, đạt vị thế là mộttrong những mạng truyền thông xã hội phổ biến nhất thế giới chỉ sau Facebook. Ứngdụng chia sẻ hình ảnh này hiện đang hoàn toàn chiếm ưu thế khi nói đến mức độ thamgia và tương tác của người dùng.
Mặc dù đã có các cơ chế bảo mật tiên tiến, các nền tảng lớn nhưFacebook, Google, LinkedIn và Instagram không phải là hoàn toàn miễn nhiễm với cáchacker và vẫn chứa các lỗ hổng bảo mật nghiêm trọng.
Một số lỗ hổng gần đây đã được vá, một số lỗ hổng vẫn đang trong quá trình sửa chữa và còn nhiều lỗ hổng khác cho tới giờ vẫn chưa được phát hiện.
Lỗ hổng cho phép hacker kiểm soát tài khoản Instagram của người dùng
Chi tiết về một lỗ hổng nghiêm trọng như vậy tồn tại trongInstagram đang được lan truyền mạnh mẽ trên Internet. Được biết lỗ hổng này cóthể cho phép kẻ tấn công từ xa đặt lại mật khẩu cho bất kỳ tài khoản Instagramnào và kiểm soát hoàn toàn tài khoản đó.
Thợ săn tiền thưởng lỗi người Ấn Độ Laxman Muthiyah đã báo cáo lỗ hổng cho Instagram. Lỗ hổng được báo cáo nằm trong cơ chế khôi phục mật khẩu được thực hiện bởi phiên bản di động của dịch vụ chia sẻ ảnh này.
“Password reset” (Đặt lại mật khẩu) hay “passwordrecovery” (Khôi phục mật khẩu) là một tính năng cho phép người dùng lấylại quyền truy cập vào tài khoản của họ trên một website trong trường hợp quênmật khẩu.
Trên Instagram, người dùng phải xác nhận passcode (mật mã)bí mật gồm sáu chữ số (hết hạn sau 10 phút) được gửi đến số điện thoại di độnghoặc tài khoản email được liên kết của họ để chứng minh danh tính.
Điều đó có nghĩa một trong một triệu nhóm số kết hợp có thể mở khóa bất kỳ tài khoản Instagram nào bằng cách sử dụng các cuộc tấn công brute force (cuộc tấn công sử dụng tên người dùng, mật khẩu… để tự động kết hợp chúng với nhau cho đến khi chính xác).
Đương nhiên, thực tế không đơn giản như vậy, bởi vìInstagram đã kích hoạt rate limiting (giới hạn tỷ lệ) để ngăn chặn cáccuộc tấn công dạng này.
Tấn công brute force tận dụng race condition
Tuy nhiên, Laxman nhận thấy rằng giới hạn tỷ lệ hoàn toàn cóthể bỏ qua bằng cách gửi các yêu cầu brute force từ các địa chỉ IP khác nhau vàtận dụng race condition (tình huống tương tranh), gửi các yêu cầu đồngthời để xử lý nhiều lần thử cùng lúc.
Như phần mô phỏng trong video trên, Laxman đã thực hiện thànhcông việc khai thác lỗ hổng để chiếm đoạt tài khoản Instagram bằng cách nhanhchóng thử 200.000 kết hợp mật mã khác nhau (20% tổng số) mà không hề bị chặn bởihệ thống.
Trong một kịch bản tấn công thực sự, kẻ tấn công cần 5000 IPđể hack tài khoản. Con số này nghe có vẻ lớn nhưng trên thực tế lại có thể thựchiện vô cùng dễ dàng nếu các hacker sử dụng một bên cung cấp dịch vụ đám mâynhư Amazon hoặc Google. Những kẻ này sẽ chỉ cần chi khoảng 150 đô la để thực hiệnmột cuộc tấn công hoàn chỉnh với một triệu mã số.
Laxman cũng đã phát hành một khai thác PoC cho lỗ hổng hiện đã được vá bởi Instagram. Công ty cũng đã trao cho Laxman phần thưởng trị giá 30.000 đô la như một phần của chương trình tiền thưởng lỗi.
Để bảo vệ tài khoản của người dùng tránh khỏi các cuộc tấn công trực tuyến, cũng như giảm khả năng bị xâm phạm khi kẻ tấn công nhắm trực tiếp vào các ứng dụng chứa lỗ hổng, người dùng được khuyến nghị kích hoạt “xác thực hai yếu tố” cho các tài khoản của mình càng sớm càng tốt.
Thao tác này có thể giúp ngăn chặn các hacker truy cập vào tài khoản của người dùng ngay cả khi chúng đánh cắp được mật khẩu.
THN