Instagram laks met beveiligen app tegen kapen accounts

Hackers kunnen door de matige beveiliging in Instagrams app nog altijd iemands account overnemen als ze op hetzelfde open(bare) wifi-netwerk zitten. Dat ontdekten meerdere beveiligingsonderzoekers. Instagram-eigenaar Facebook heeft nog altijd niks gedaan om dit te voorkomen en weigert hackers die het lek meldden beloningen. Het beveiligingsprobleem is dan ook al jaren aanwezig.

Geen https

De oorzaak: Instagrams app gebruikt geen versleutelde https-verbindingen. De API van Instagram maakt verzoeken zonder encryptie, waar hackers op hetzelfde open wifi-netwerk gewoon tussen kunnen gaan zitten, om de zogeheten 'sessiecookie' te pakken. Daarmee krijg je op dat moment de controle over dat Instagram-account. Met een populaire tool als Wireshark is het eenvoudig om cookies en gebruikersnamen te achterhalen, toont onderzoeker Mazin Ahmed op zijn blog.

"Totdat dit probleem is opgelost raad ik aan Instagrams mobiele app niet te gebruiken. Gebruik de normale website die wel encrypted is. Het is ongelooflijk dat een bedrijf als Facebook niet genoeg doet om zijn gebruikers te beveiligen", stelt Ahmed.

Spammen

"Als ik naar een plek zou gaan met veel iPhone-gebruikers, zeg een Apple Store, zou ik duizenden accounts per dag kunnen buitmaken en ze bijvoorbeeld kunnen gebruiken om spam te verspreiden", stelt hacker Stevie Graham, die het probleem ook al vergeefs aankaartte bij Instagram. Spammen is bij Instagram op zich wel iets lastiger: het is alleen mogelijk linkjes te plaatsen op de profielpagina, niet bij foto's.

Instagrams mede-oprichter Mike Krieger laat weten dat er wordt gewerkt aan de invoering van volledige encryptie. Voor berichtenfunctie Instagram Direct staat die al wel aan. Maar wanneer het voor de rest van de app klaar is, is nog niet bekend. Hij spreekt alleen van 'binnenkort'. Instagram is er rijkelijk laat mee. Al 3,5 jaar geleden schakelde Facebook voor zijn hele site over op https-verbindingen.