В популярном приложении Instagram недавно была обнаружена серьёзная дыра безопасности, которая могла бы позволить хакерам похищать аккаунты пользователей. Дело в том, что некоторые файлы cookies в сервисе отправляются незащищёнными, а именно — в виде простого текста. По словам Карлоса Ревентлова (Carlos Reventlov), который обнаружил дыру, во время загрузки приложения на серверы Instagram отправляются cookies именно в виде текста, в то время как для входа в систему и редактирования профиля используется шифрование. Соответственно, для получения доступа к чужому аккаунту хакеру достаточно получить доступ к незащищённому файлу.

Ревентлов заявил: «Как только взломщик добирается до cookie-файла, он может создать специальный HTTP-запрос, чтобы получить данные и удалить фотографии». Дыра безопасности была обнаружена и проверена на iOS-версии Instagram 3.1.2. Ревентлов предположил, что компания просто-напросто не использует HTTPS для API-запросов.

Впрочем, для успешного взлома и хакер, и пользователь должны быть подключены к одной и той же локальной сети. Очевидно, это не может произойти, если пользователь использует мобильное соединение, однако использование одного и того же хотспота Wi-Fi может привести к удручающим последствиям.

При успешном взломе злоумышленник может получить доступ не только к информации о пользователе, но и к фотографиям его друзей. Также он может изменить пароль или, как уже упоминалось выше, удалить все фотографии владельца аккаунта. По словам Ревентлова, компания пока ничего не ответила на заявление по поводу уязвимости. Наличие дыры у Android-версии приложения подтверждено не было.