Abbiamo già raccontato con Instaspam di come Instagram sia affetta da spam ultimamente. Introducendo un intervista a Phil Gonzalez poi abbiamo accennato al fatto che è emerso un grave baco di cui parlerò ora.

Il 30 novembre 2012 Carlos Reventlov, esperto di sicurezza informatica, ha pubblicato una verifica che dimostra come l’applicazione per iOS sia affetta da un baco che permetta a malintenzionati di hackerare gli account su Instagram.

Ora, nuovo baco a parte, il pericolo di vedere finire il proprio account in una botnet ed essere utilizzati dagli spammer per elargire like di massa o vendere follower (come è successo al sottoscritto) esiste sempre e comunque su Instagram ed è insito nel modo in cui il team di sviluppo ha pensato le API e più in generale nel protocollo OAuth usato da moltissimi social, Twitter e FaceBook compresi.

Funziona così. Quando diamo l’OK ad un applicazione di terze parti (es. webviewer come StatigramWebstagram ma anche produttori come StickyGram e Instacanvas) di fatto permettiamo loro di ottenere da Instagram una chiave che riporta la nostra impronta digitale (è proprio il caso di dirlo) con la quale è possibile fare alcune operazioni: aggiungere e cancellare propri commenti, dare e togliere i like, seguire o meno gli utenti. Di fatto sono tutte le operazioni possibili tranne creare un nuovo account e caricare e cancellare immagini. Ora, un sito malintenzionato potrebbe raccogliere queste chiavi (dette token) in un database (invece di cancellarle quando si fa il logout) e riutilizzarle all’occorrenza per le operazioni illecite che ho citato prima.

Quindi, primo consiglio: controllate periodicamente la lista delle applicazioni di terze parti per le quali avete acconsentito che utilizzino le vostre credenziali Instagram e, se è il caso, revocate l’autorizzazione a quelle app che non usate più.

Riguardo al nuovo baco (che sembra Instagram non abbia ancora sistemato) Reventlov ha scoperto che l’applicazione per iOS scambia in chiaro con i server (cioè in modo non crittografato) il token che menzionavo prima. Solo che in nel caso della app per device si tratta di un super-token che permette tutte le operazioni possibili incluse la creazione e la cancellazione di un account, la modifica dei dati del profilo nonché il caricamento e la cancellazione della immagini.

Quindi un malintenzionato che sia attivo nella stessa vosta rete LAN può utilizzare una semplice tecnica detta ARP spoofing che gli permette di intercettare i dati inviati dal vostro device, ridirigerli verso un suo computer e quindi leggere in chiaro il token.

Come possiamo difenderci da questo rischio fino a quando Instagram non risolverà il baco? Secondo consiglio: utilizzate sempre la connessione 3G per effettuare operazioni con l’app di Instagram dal vostro device Apple oppure una Wi-Fi iper-sicura… non fidatevi delle Wi-Fi pubbliche e nemmeno di quella del vostro ufficio a meno che non siate gli unici utilizzatori abilitati alla Wi-Fi.

Photo Credit: psicologiaclinica via Photo Pin (CC)