Sidestepper: Uma vulnerabilidade iOS
O ataque foi desenvolvido por Carlos Reventlov em torno de uma vítima. vulnerabilidade que ele encontrou no Instagram em meados de novembro. Ele notificou o Instagram sobre o problema em 11 de novembro, mas a partir de terça-feira passada, ele não havia sido corrigido. A vulnerabilidade está na versão 3.1.2 do aplicativo do Instagram, lançado em 23 de outubro, para o iPhone. Reventlov descobriu que enquanto algumas atividades sensíveis, como o login e a edição de dados de perfil, são criptografadas quando enviadas ao Instagram, outros dados são enviados em texto simples. Ele testou os dois ataques em um iPhone 4 rodando o iOS 6, onde ele encontrou o problema pela primeira vez.
[Leia mais: Como remover malware do seu PC Windows]
"Quando a vítima inicia o aplicativo Instagram, uma planície -texto cookie é enviado para o servidor Instagram ", escreveu o Reventlov. "Uma vez que o invasor obtém o cookie, ele é capaz de criar solicitações HTTP especiais para obter dados e excluir fotos."
O cookie de texto simples pode ser interceptado usando um ataque man-in-the-middle, desde que o hacker seja na mesma LAN (rede local) que a vítima. Uma vez que o cookie é obtido, o hacker pode excluir ou baixar fotos ou acessar as fotos de outra pessoa que é amiga da vítima.A empresa de segurança dinamarquesa Secunia verificou o ataque e emitiu um aviso.
Reventlov continuou a estudar o potencial da vulnerabilidade e o problema do cookie também poderia permitir que o hacker assumisse a conta da vítima. Novamente, o invasor precisa estar na mesma LAN que a vítima.
O compromisso usa um método chamado spoofing ARP (Address Resolution Protocol), em que o tráfego da Web do dispositivo móvel da vítima é canalizado através do computador do invasor. Reventlov escreveu que é então possível interceptar o cookie de texto simples.
Ao usar outra ferramenta para modificar os cabeçalhos de um navegador da web durante a transmissão para os servidores do Instagram, é possível entrar como vítima e mudar a vítima. endereço de e-mail, resultando em uma conta comprometida. A correção para o Instagram é fácil: o site deve usar sempre HTTPS para solicitações de API com dados confidenciais, escreveu o Reventlov.
"Descobri que muitos aplicativos para iPhone são vulneráveis a essas coisas, mas não muitos são de alto perfil. aplicativos como o Instagram ", escreveu o Reventlov em e-mail para o IDG News Service.
Nem funcionários do Instagram nem do Facebook puderam ser imediatamente atendidos na segunda-feira. Reventlov escreveu em seus comunicados que recebeu uma resposta automática quando contou ao Instagram sobre o assunto.
Envie dicas e comentários para [email protected]. Siga-me no Twitter: @jeremy_kirk
A Adobe Systems A Adobe não forneceu muitos detalhes sobre a vulnerabilidade, mas escreveu que é explorável remotamente, o que significa que um hacker pode usá-la no Shockwave Player para corrigir uma vulnerabilidade crítica, escreveu a empresa em seu blog de segurança na terça-feira. para infectar um computador com software mal-intencionado na Internet.
O Shockwave Player é usado para exibir conteúdo criado pelo programa Director da Adobe, que oferece ferramentas avançadas para criar conteúdo interativo, incluindo o Flash. O aplicativo Director pode ser usado para criar modelos 3D, imagens de alta qualidade e conteúdo digital em tela cheia ou formato longo e oferece maior controle sobre como esses elementos são exibidos.
Com a aquisição, a EMC se concentrará em aumentar o desempenho e a escalabilidade de nuvens privadas, disse a empresa. A aquisição da FastScale amplia os pacotes de produtos Ionix da EMC para automatizar o gerenciamento de TI em recursos de armazenamento, computação, rede e virtualização.
A aquisição ajudará os clientes da EMC a migrar de datacenters físicos para data centers virtualizados ou nuvens privadas.
O Verificador de Vulnerabilidade EternalBlue verifica se o seu Windows está vulnerável O Verificador de Vulnerabilidade Eset EternalBlue é uma ferramenta gratuita que verifica se o seu computador Windows está vulnerável à exploração EternalBlue que estava sendo explorada pelo WannaCrypt Ransomware.
Com o Ransomware estando no ar, é um bom momento para verificar se o seu sistema Windows está vulnerável ao