ແຈ້ງເຕືອນແລະຂໍ້ແນະນຳສຳຫລັບຊຽ່ວຊານ


ເລື່ອງ:  ລະ​ວັງ​ໄພ Instagram 3.1.2 ໃນ iOS ມີ​ຊ່ອງ​ໂຫວ່​ສວມ​ຮອຍ​ບັນ​ຊີ​ຜູ້​ໃຊ້

ປະ​ເພດ​ໄພ​ຄຸກ​ຄາມ:  Intrusion

ຂໍ້​ມູນ​ທົ່ວ​ໄປ 

ນັກ​ວິ​ໄຈ​ຄົ້ນ​ພົບ​ຊ່ອງ​ໂຫວ່​ໃນ​ແອບ​ພິ​ເຄ​ຊັນ Instagram ເວີຊັ່ນ 3.1.2 ທີ່​ເຜີຍແຜ່​ເມື່ອ​ວັນທີ່ 23 ຕຸລາ 2555 ໂດຍ​ພົບ​ວ່າ​ແອບ​ພິ​ເຄ​ຊັນ​ດັ່ງ​ກ່າວ​ສົ່ງ​ຂໍ້​ມູນ​ການ​ເຂົ້າ​ສູ່​ລະບົບ​ ຫລື​ ການ​ແກ້​ໄຂ​ຂໍ້​ມູນ​ຂອງ​ຜູ້​ໃຊ້​ຜ່ານ​ໂພ​ໂທ​ຄອນ HTTPS ແຕ່​ຂໍ້​ມູນ​ໃນ​ສ່ວນ​ຂອງ​ການ​ໃຊ້​ງານ​ອື່ນໆ ນັ້ນ​ສົ່ງ​ຜ່ານ​ໂພ​ໂທ​ຄອນ HTTP ໂດຍ​ບໍ່​ມີ​ການ​ປ້ອງ​ກັນ [1]

ຜົນ​ກະທົບ 

ຫາກ​ຜູ້​ໃຊ້​ງານ Instagram ເຊື່ອມ​ຕໍ່​ເຂົ້າ​ກັບ​ເຄືອ​ຂ່າຍ Wifi ສາທາລະນະ ອາດ​ຖືກ​ຜູ້​ບໍ່​ຫວັງ​ດີ​ໃຊ້​ໂປຣ​ແກຣມ​ປະ​ເພດ Sniffer ໃນ​ການ​ດັກ​ຮັບ​ຂໍ້​ມູນ ຫລື​ ອາດ​ຖືກ​ຜູ້​ບໍ່​ຫວັງ​ດີ​ໂຈມ​ຕີ​ດ້ວຍ​ວິທີ Man-in-the-Middle ເພື່ອ​ດັກ​ຈັບ Cookie ແລະ​ ສວມ​ຮອຍ​ບັນ​ຊີ​ຜູ້​ໃຊ້ ລວມ​ເຖິງ​ອາດ​ລົບ​ພາບ​ຂອງ​ຜູ້​ໃຊ້​ງານ​ໄດ້ [2]  ດັ່ງ​ຮູບ​ທີ 1

ຮູບ​ທີ 1 ຕົວ​ຢ່າງ​ການ​ດັກ​ຮັບ​ຂໍ້​ມູນ Cookie ຂອງ Instagram (ທີ່​ມາ reventlov.com)

 

ລະບົບ​ທີ່​ໄດ້ຮັບ​ຜົນ​ກະທົບ 

Instagram 3.1.2 ໃນ iOS

ຂໍ້​ແນະ​ນຳ​ໃນ​ການ​ປ້ອງ​ກັນ ​ແລະ​ ແກ້​ໄຂ

ນັກ​ວິ​ໄຈ​ໄດ້​ແຈ້ງ​ຊ່ອງ​ໂຫວ່​ນີ້​ໃຫ້​ທາງ Instagram ຮູ້​ແລ້ວ ໃນ​ລະຫວ່າງ​ທີ່ Instagram ກຳ​ລັງ​ແກ້​ໄຂ​ຊ່ອງ​ໂຫວ່​ດັ່ງ​ກ່າວ ຜູ້​ໃຊ້​ງານ iOS ບໍ່​ຄວນ​ເປີດ​ໃຊ້​ງານ Instagram ໃນ​ຂະນະ​ທີ່​ເຊື່ອມ​ຕໍ່​ກັບ​ເຄືອ​ຂ່າຍ Wifi ສາທາລະນະ​ເພາະ​ອາດ​ຖືກ​ສວມ​ຮອຍ​ບັນ​ຊີ​ຜູ້​ໃຊ້​ໄດ້ ຄວນ​ໃຊ້​ການ​ເຊື່ອມ​ຕໍ່​ຜ່ານ Cellular Network ເພື່ອ​ຄວາມ​ປອດ​ໄພ

ອ້າງ​ອີງ

  1. http://reventlov.com/advisories/instagram-plaintext-media-disclosure-issue
  2. http://reventlov.com/advisories/instagram-session-riding-vulnerability