Baca Artikel Lainnya
Kalau kamu pakai iPhone Instagram, kamu perlu berhati-hati. Peneliti sekuriti Carlos Reventlov telah menemukan lubang dalam Instagram version 3.1.2 di iPhone
4 (iOS 6) yang menyebabkan akun pengguna Instagram bisa diserang.
Secara khusus, pengguna rentan akan pengintaian parsial dan serangan
man-in-the-middle yang bisa digunakan peretas untuk menghapus foto-foto
atau bahkan mengambil alih akun pengguna dan mengunduh foto-foto
pribadi kamu.
Data login dan profil Instagram dikirimkan via koneksi HTTPS yang
sudah diamankan, tetapi permintaan lainnya dikirimkan melalui HTTP biasa
yang menggunakan cookie tanpa enkripsi untuk otentikasinya. Jika
seorang penyerang terkoneksi ke LAN yang sama dengan pengguna iPhone,
maka ia bisa mengambil alih akun tersebut.
“Seorang penyerang pada LAN yang sama dengan si korban dapat
meluncurkan arpspoofing sederhana untuk mengelabui Iphone agar
melewatkan trafik port 80 ke mesin si penyerang,” tulis Reventlov.
“Ketika si korban mengaktifkan app Instagram, cookie teks biasa (plain
text) dikirimkan ke server Instagram, [dan] begitu si penyerang
mendapatkan cookie, ia akan bisa membuat permintaan HTTP khusus untuk
mengambil data dan menghapus foto-foto.”
Reventlov menyarankan perbaikan yang implementasinya sederhana. Dia
menyarankan penggunaan HTPPS untuk semua permintaan API yang mengandung
data sensitive dan sebuah body signature untuk permintaan yang tidak
terenkripsi. Dia telah mengirimkan penemuan dan konsep buktinya ke
Instagram nyaris sebulan lalu, dan menurut situs web-nya, dia hanya
menerima jawaban otomat. Dan per 20 November, lubang itu tetap belum
ditambal. (tabloid pcplus)