ЛАЙФХАК: КАК ЗАПИСАТЬ ВИДЕО С ЭКРАНА iPhone и Android?
Một nhà nghiên cứu bảo mật đã công bố vào thứ Sáu một cuộc tấn công vào dịch vụ chia sẻ ảnh của Facebook có thể cho phép hacker chiếm quyền kiểm soát tài khoản của nạn nhân.
Cuộc tấn công được phát triển bởi Carlos Reventlov lỗ hổng mà anh tìm thấy trong Instagram vào giữa tháng 11. Ông đã thông báo cho Instagram về vấn đề này vào ngày 11/11, nhưng tính đến thứ 3 tuần trước, nó đã không được sửa.
Lỗ hổng này nằm trong phiên bản 3.1.2 của ứng dụng Instagram, được phát hành vào ngày 23 tháng 10, cho iPhone. Reventlov nhận thấy rằng trong khi một số hoạt động nhạy cảm, chẳng hạn như đăng nhập và chỉnh sửa dữ liệu hồ sơ, được mã hóa khi gửi đến Instagram, các dữ liệu khác được gửi dưới dạng văn bản thuần. Ông đã thử nghiệm hai cuộc tấn công trên iPhone 4 chạy iOS 6, nơi ông lần đầu tiên tìm thấy vấn đề.
[Đọc thêm: Cách xóa phần mềm độc hại khỏi PC Windows]"Khi nạn nhân khởi động ứng dụng Instagram, một đồng bằng -text cookie được gửi đến máy chủ Instagram, "Reventlov viết. "Khi kẻ tấn công nhận được cookie, anh ta có thể tạo ra các yêu cầu HTTP đặc biệt để nhận dữ liệu và xóa ảnh."
Cookie thuần văn bản có thể bị chặn bằng cách sử dụng một cuộc tấn công trung gian, miễn là hacker trên cùng một mạng LAN (mạng cục bộ) với tư cách là nạn nhân. Sau khi lấy được cookie, tin tặc có thể xóa hoặc tải xuống ảnh hoặc truy cập ảnh của người khác là bạn của nạn nhân.
Công ty an ninh Đan Mạch Secunia đã xác minh cuộc tấn công và đưa ra lời khuyên.
Reventlov tiếp tục nghiên cứu tiềm năng của lỗ hổng và phát hiện ra vấn đề về cookie cũng có thể cho phép hacker xâm chiếm tài khoản của nạn nhân.
Sự thỏa hiệp sử dụng một phương pháp gọi là giả mạo ARP (Giao thức phân giải địa chỉ), nơi lưu lượng truy cập web của thiết bị di động của nạn nhân được truyền qua máy tính của kẻ tấn công. Reventlov đã viết rằng sau đó có thể chặn cookie thuần văn bản.
Bằng cách sử dụng công cụ khác để sửa đổi tiêu đề của trình duyệt web trong khi truyền sang máy chủ của Instagram, có thể đăng nhập với tư cách là nạn nhân và thay đổi nạn nhân địa chỉ email, dẫn đến tài khoản bị xâm nhập. Việc sửa lỗi cho Instagram rất dễ dàng: trang web nên sử dụng luôn sử dụng HTTPS cho các yêu cầu API có dữ liệu nhạy cảm, Reventlov viết.
"Tôi thấy rằng nhiều ứng dụng iPhone dễ bị tổn thương như vậy nhưng không quá nhiều hồ sơ Các ứng dụng như Instagram, "Reventlov đã viết trong một email gửi tới IDG News Service.
Cả Instagram và các quan chức Facebook đều không thể đạt được ngay vào thứ Hai. Reventlov đã viết trong các lời khuyên của ông rằng ông đã nhận được một câu trả lời tự động khi ông nói với Instagram về vấn đề này.
Gửi lời khuyên và bình luận cho [email protected]. Theo tôi trên Twitter: @jeremy_kirk
Dump Internet Explorer cho đến khi Microsoft phát hành bản vá lỗi, các chuyên gia bảo mật cảnh báo. Nếu bạn sử dụng Internet Explorer 6, 7, 8 hoặc 9 làm trình duyệt mặc định trên PC Windows, các chuyên gia bảo mật khuyên bạn nên sử dụng một trình duyệt Web khác cho đến khi Microsoft vá lỗ hổng nghiêm trọng trong IE. Hôm thứ Hai, Microsoft đã xác nhận rằng tin tặc đã tích cực khai thác lỗ hổng IE có thể cho phép kẻ tấn công chiếm đoạt PC của bạn. Việc khai thác không ảnh hưởng đến người dùng đang
Cho đến nay, Microsoft cho biết họ đã nhận được các báo cáo về "một số lượng nhỏ các cuộc tấn công nhắm mục tiêu" bằng cách sử dụng khai thác này. Các nhà sản xuất phần mềm đang làm việc trên một bản vá bảo mật cho vấn đề, nhưng công ty vẫn chưa nói liệu nó sẽ phát hành một bản cập nhật bảo mật càng sớm càng tốt hoặc là một phần của chu kỳ cập nhật “patch Tuesday” hàng tháng của họ. "Bản vá thứ ba" tiếp theo sẽ là ngày 9 tháng 10.
Yahoo cắm lỗ cho phép chiếm đoạt tài khoản email
Tin tặc phía sau một chiến dịch tấn công email được phát hiện gần đây đã khai thác lỗ hổng trong trang web của Yahoo để chiếm đoạt email Theo các nhà nghiên cứu bảo mật từ nhà cung cấp chống virus, những kẻ tấn công sau một chiến dịch tấn công email được phát hiện gần đây đang khai thác lỗ hổng trên trang web của Yahoo để chiếm đoạt tài khoản email của người dùng Yahoo và sử dụng chúng cho spam. Bitdefender.
Facebook cho phép chiếm đoạt tài khoản
Facebook đã vá một lỗ hổng nghiêm trọng có thể cho phép kẻ tấn công dễ dàng truy cập vào dữ liệu tài khoản người dùng cá nhân và kiểm soát Theo một nhà nghiên cứu bảo mật ứng dụng web cho biết vào cuối ngày thứ Năm, Facebook đã vá một lỗ hổng nghiêm trọng có thể cho phép kẻ tấn công dễ dàng truy cập vào dữ liệu tài khoản người dùng cá nhân và kiểm soát tài khoản. Các nhà nghiên cứu bảo mật ứng dụng web cho biết vào cuối ngày thứ Năm,