Instagram: iPhone-App kommuniziert unsicher
Nach Angabe eines Entwicklers ist es möglich, den Account von Nutzern des Foto-Dienstes in einem öffentlichen WLAN zu übernehmen. Instagram will künftig alle Verbindungen verschlüsseln – das Vorhaben ist aber noch nicht abgeschlossen.
Eine Schwachstelle in Instagrams iPhone-App ermöglicht die Übernahme von Nutzer-Accounts, wie der Entwickler Stevie Graham berichtet. Ein Angreifer im gleichen Netz, etwa in einem öffentlichen WLAN, könne leicht die aktive Sitzung klauen, da das Cookie unverschlüsselt übertragen wird. Er habe die Sicherheitslücke an Facebook gemeldet, erklärt Graham. Das soziale Netzwerk habe bisher nur erklärt, die Lücke sei bereits bekannt.
Graham erwägt nun, ein Tool zu veröffentlichen, mit dem das Auslesen der Session-Cookies automatisiert möglich ist – es soll in Anlehnung an das Cookie-Klau-Tool Firesheep "Instasheep" heißen.
Bestimmte Verbindungen führt die Instagram-App offenbar unverschlüsselt durch: In einem Kommentar auf Hacker News erklärt der Mitgründer Mike Krieger, der Foto-Dienst sei gerade aktiv dabei, sämtliche Verbindungen auf HTTPS umzustellen ohne damit Leistung und Stabilität zu beeinträchtigen. Details will Instagram im Engineering-Blog veröffentlichen, das Projekt sei allerdings "bald" erst abgeschlossen. Ob die Schwachstelle auch die Android-App betrifft, bleibt vorerst unklar.
[Update 30.07.2014 8:55 Uhr] Bei Instagrams Android-App besteht das Problem nach Angabe eines Sicherheitsforschers ebenfalls. (lbe)