Instagram-App anfällig für Account-Hijacking

Der Netzwerkverkehr der Instagram-App ist offenbar unzureichend geschützt: Wie der Sicherheitsexperte Carlos Reventlov berichtet, kommuniziert die App der Fotogemeinde unverschlüsselt über HTTP mit dem Instagram-Server. Ein Angreifer kann beim Belauschen des Datenverkehrs laut Reventlov ein Session-Cookie stehlen und damit im Kontext des Belauschten auf den Nutzerbereich von instagram.com zugreifen.

Dort kann der Angreifer das Passwort des Nutzers ändern, um sich anschließend mit der App einloggen zu können. Nach der Übernahme des Accounts kann er sämtliche Möglichkeiten nutzen, die der Dienst bietet – etwa privat hochgeladene Bilder ansehen oder neue Fotos veröffentlichen. Hat der Instagram-Nutzer seinen Account mit Facebook und Twitter verknüpft, landen die Uploads unter Umständen auch dort.

Reventlov hat das Sicherheitsproblem nach eigenen Angaben am 10. November an Instagram gemeldet, woraufhin er nur eine automatisch Antwort erhalten haben will. Er veröffentlichte die Details zehn Tage später auf seiner Webseite. Inzwischen bietet er sogar ein Tool an, das die Instagram-Cookies automatisch aus dem Netzwerkverkehr fischt.

Generell ist bei der Nutzung von Diensten, die persönliche Daten verarbeiten, in öffentlichen Netzen Vorsicht geboten. Ist man etwa in den unverschlüsselten Hotspot am Bahnhof eingebucht, kann jedermann die übertragenen Datenpakete mitlesen. Selbst in verschlüsselten WLANs gelingt das Mitschneiden der Datenpakete unter Umständen durch ARP-Spoofing. Wer unterwegs schützenswerte Daten überträgt, sollte dafür also im Zweifelsfall besser das WLAN ausschalten und das Mobilfunknetz benutzen. (rei)