«Особенность» Instagram

    В 2020 году даже если злоумышленник попал в ваш аккаунт социальной сети, это неприятно, но не критично. Ведь у нас есть двухфакторная аутентификация на многие важные действия, а доступа к почте/телефону у злоумышленника нет и аккаунт ему не угнать. Так ведь? Нет.

    В Instagram - социальной сети, которую использует 1 миллиард пользователей (⅛ населения планеты) все совсем не так. И исправлять они это отказались. В этой статье я расскажу вам о логической уязвимости, которая может позволить захватить аккаунт человека, пока он не обратится в тех. поддержку.

    Интересно? Добро пожаловать под кат!

    Смена email и номера телефона

    Итак, злоумышленник каким-то образом зашел в ваш Инстаграм аккаунт в приложении или в веб-версию. Возможно, он просто узнал ваш логин и пароль, или может вы забыли выйти на общественном компьютере, это уже не столь важно. Двухфакторная аутентификация же по умолчанию у всех отключена.

    Может ли он что-то такое устроить, чтоб завладеть вашим аккаунтом на продолжительно время? Да, может и в этом как раз проблема.

    Ночью, где-то в 3-4 утра, когда вы скорее всего спите, он удаляет привязанный номер телефона. 

    • Нужно ли подтверждение с телефона? Нет, не нужно. 

    • Придет ли смс на номер телефона? Нет, не придет.

    • Прилетит ли Push-уведомление в приложение? Нет, не прилетит.

    Пара кликов и уже номер телефона не привязан, вас уведомят лишь письмом на почту, его вы увидите скорее всего лишь утром. Дальше email, меняем и его.

    • Нужно ли подтверждение с прошлого email? Нет, не нужно. 

    • Прилетит ли Push-уведомление в приложение? Нет, не прилетит.

    Остается лишь подтвердить новый email по ссылке, что злоумышленник сделает — email сменен. И об этом вас уведомят лишь письмом на почту, и его вы увидите скорее всего лишь утром.

    В письмах на почте об изменениях в аккаунте вас будут ждать ссылки возврата “secure your account here” (https://instagram.com/accounts/disavow). Они позволяют легко восстановить старое значение email и телефон, переход по ним позволит все откатить. Это ЕДИНСТВЕННЫЙ механизм защиты от перехвата аккаунта, но он работает. А можно ли его обойти? Да, можно.

    Account Takeover

    Чтобы получить контроль над аккаунтом и не дать владельцу вернуть его обратно, нужно лишь не позволить ему использовать ссылки возврата. Немного обозначений:

    • “victim@example.com” - почта владельца аккаунта, к которой был привязан аккаунт.

    • "evil1@anyserver.com” - первая почта злоумышленника.

    • “evil2@anyserver.com” - вторая почта злоумышленника.

    Последовательность действий:

    1. Хакер удаляет телефон жертвы из аккаунта и меняет почту victim@example.com на evil1@anyserver.com.

    2. Хакер подтверждает почту evil1@anyserver.com.

    3. Хакер меняет почту evil1@anyserver.com на evil2@anyserver.com.

    4. Хакер подтверждает почту evil2@anyserver.com.

    5. Хакер нажимает на ссылку возврата  “secure your account here” (“https://instagram.com/accounts/disavow/**) на “evil1@anyserver.com” и восстанавливает настройки аккаунта к первоначальным с Шага 1, при этом меняя и пароль.

    Он сам вернул привязку к легальном мылу и телефону?! Да, и он повторит шаги 1-5 еще несколько раз, пароль ему известен. Полностью автоматизировано повторит, нет там капчи, ни одной!

    При моих тестах было достаточно 3 повторений шагов, чтобы ВСЕ ссылки возврата на ВСЕХ почтах перестали работать. Их использование несколько раз за короткий промежуток времени приводит к блокировки функции  возврата “secure your account here“. Злоумышленник же может автоматизировано повторять шаги, чтобы продлить блокировку. Теперь аккаунт без вмешательства тех. поддержки не вернуть, ведь ссылки даже на первоначальном email не работают, а из всех приложений жертву выкинуло после первых действий.

    Решения

    Решений это проблемы множество, самые важные компенсирующие меры:

    1. Внедрить подтверждение смены email и телефона отправкой сообщения на предыдущий email/телефон.

    2. Блокировать лишь ссылки возврата на определенных email, а не на всех.

    Желательно:

    1. Уведомлять об изменения в аккаунте в приложении и/или смс.

    Реакция Facebook/Instagram

    “В рамках использования описанной вами проблемы кто-то должен взять под контроль устройство пользователя и перевести это устройство в разблокированное и аутентифицированное состояние. Это очень высокий барьер для входа и, похоже, вряд ли произойдет обычно, что делает эту атаку скорее теоретической. Защита в этом случае заключается в том, чтобы не позволить кому-либо украсть и разблокировать ваше устройство.”

    • То есть, это в целом невозможно?

    • И перехват веб-версии, через которую я и проделал все описанное выше - не считается?

    Править они ничего не будут, судя по всему, и тем более за это не положена никакая награда исследователю. Вот такая интересная "особенность" Инстаграма, а никак не проблема безопасности =)

    Similar posts

    Ads
    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More

    Comments 75

      +14
      Человек, возможно, меняет телефон или почту, если у него нет доступа к старому телефону или почте. И если слать пуш уведомления на недоступный пользователю телефон или почту, то как сам пользователь может их сменить?
        0
        Как и во всех других приложениях, через тех. поддержку, например.
        Ну и через ввод старого пароля, как минимум, тут он не нужен.
          +4
          Я намекал, что большая часть смен — это утеря телефона или почты. А вы предлагаете это все через техподдержку проводить? Ну это не серьезно.
          Здесь, конечно, не помешал бы дополнительный канал с пользователем, но его нет. А утерянный телефон или почта это точно не доп. канал подтверждения. Так что тут, я согласен с Instagram. А вот насчет возврата, не все так однозначно. У гугла, вроде, есть превичный емаил, который нельзя сменить или что- то такое.
            +5
            Ну хотя бы пароль вводить при смене нужно ведь)
              0
              На днях менял у гугла первичный и единственный email.
            +18

            Достаточно не давать менять почту чаще чем раз в три дня. Поменял почту? Всё, три дня больше менять не можешь. Настоящий владелец сможет откатить до оригинального состояния через специальную ссылку

            +2
            А как с телеграмом: пролюбил симку — прощай аккаунт.
              +3
              Переходите на Вайбер, там другая крайность: при входе с другого устройства на Андроиде, вас выбрасывает из первого устройства, и на втором у вас чистый лист без истории переписки и даже без контактов… А RTFM обычно начинают только после того, как всё пропало…
                0
                Но если вернуться назад, то всё вернется ведь? В WhatsApp так, например
                  0

                  Неа, что пропало — то пропало.
                  Только если настроены бэкапы в гугл драйв, то с потерей 1-2 дней можно восстановить. Ах да, картинки? Забудьте.

                  0

                  А у меня почему-то всё удалилось, хотя с другого устройства не заходил...

                  –1
                  в любом отделении оператора сотовой связи бесплатно выдают новую симку с твоим номером, по предъявлении паспорта, конечно.
                    +2
                    Если симка была зарегана на вас, конечно же. Моя больше 15 лет назад была зарегистрирована на человека, который много лет как умер. И восстановление после того, как она отказала, было тем ещё квестом.
                      –3
                      слушай, это проблема конкретно твоя. Ты же наверное знал и понимал это, но ничего при этом не сделал, зато зарегистрировался на том или ином сервисе через симку, которая тебе не принадлежит.
                      Это вопрос между тобой и оператором, никакого отношения к сервису не относится, иначе существенно возрастает риск компрометации, разве нет?
                        +1
                        Проблема в сервисах, которые можно зарегистрировать на симкарту. Есть логин, есть пароль, есть OTP для критичных сервисов, всё остальное от лукавого.
                          +2
                          Так дело в том, что заставляют регистрироваться через симку! Я бы с радостью использовал PGP, но выбора мне не оставляют.
                            –2
                            наверное тогда есть смысл отказаться от их услуг. Я их не защищаю. Просто я не понимаю тех, кто жалуется, что мол номер не на него и за все это время не удосужится решить эту проблему с оператором связи.
                            Тут хоть обминусуйтесь, если сути не понимаете, но заявлять о том, что номер вам не принадлежит и сетовать на валить все на других,, такое себе. Так решил оператор и ему чхать, что в действительности вы им пользуетесь уже давно.
                              +2
                              мол номер не на него

                              Номер в любом случае принадлежит оператору, если что.
                        +2
                        Как-то пытался я в Екб восстановить симку МТС, купленную в СПб. В любом отделении оператора мне отвечали «вот где открывали, туда и идите».
                        0

                        В телеграме можно отключать активные сеансы по одному,(но не на новых устройствах, что плюс). И всё равно если злоумышленник знает номер, без секретной комбинации 2ФА в аккаунт ему не войти

                          0

                          Без двухфакторки номер телефона в телеге меняется из уже залогиненой сессии без подтверждения. С двухфакторкой не пробовал.

                          +2
                          Смена телефона — запрос подтверждения на почту. Смена почты — запрос на телефон. Маловероятно, что одновременно утеряно будет и то, и то. А если так, то через поддержку.
                            0
                            Смысл 2FA пропадает, если злоумышленник, завладевший одним из факторов, может безо всяких препятствий заменить второй фактор своим.
                              0
                              Если включена 2FA, тогда нужно подтверждать любые действия кодом из 2FA, само собой. Если 2FA через симку, а не приложение, и человек хочет сменить телефон для 2FA в связи с утерей, или что-то такое, то только через поддержку.
                              0
                              Вполне вероятно если потерялся телефон, а на почте тоже 2фа. В этом случае если почта не осталась открытой на другом устройстве — в неё тоже будет не войти.
                              0
                              Обычно даётся время на откат изменения. Т.е. меняем телефон, на старый сразу сваливается смс о смене и даётся время откатить, день-два.
                                +4
                                Если взять в пример ВК, то там при смене номера, если он утерян, ставится недельный таймер и отсылается куча уведомлений (почта, пуш, сам номер). Да и в принципе, как бы к ВК все не относились, такие вещи там гораздо лучше проработаны, а уведомления на любой чих — нормальная практика.
                                  +1
                                  Именно
                                    0
                                    такие вещи там гораздо лучше проработаны
                                    Вы ещё помните времена, когда ваш пароль напоминали вам на почту открытым текстом? Вы думаете, с тех пор они точно надежно зашифровали пароли?
                                      0
                                      А вот это уже совсем другая история
                                    –2

                                    Поменял телефон, получи код на почту, поменял почту, получи смс, вот и все.

                                    0
                                    если честно, прямо не сказано, что они не будут это править. сказано лишь, что вы не можете претендовать на награду. имхо, вся последующая аргументация направлена на обоснование этой позиции. а будут исправлять или нет — тут нужно учитывать огромную матрицу возможных use-case-ов, которая есть только у них
                                      0
                                      Надеюсь, что все же поправят.
                                      0
                                      В 2020 году даже если злоумышленник попал в ваш аккаунт социальной сети. Неприятно, но не критично.
                                      чего-то в тексте не хватает.
                                        +1
                                        Ага, старая версия в анонсе осталась, спасибо.
                                        0
                                        Не фак, что ссылки восстановления отключились навсегда, возможно это временная блокировка. Да и саппорт в такой ситуации скорее всего разберется.
                                          +1
                                          Сапорт разберется, это единственное средство, а ссылкам можно «продлевать» блокировку по этому же алгоритму.
                                          +12

                                          Ну, это какая-то борода. Напишите в FB, что вы не исследовали функционал безопасности первичной аутентификации, а ваша работа относится к багу функционала возврата прежних значений email и номера телефона. Это пертинентно только для случая когда угон аккаунта уже произошёл, и злоумышленник поменял эти значения.
                                          Жлобьё, зла не хватает.


                                          По метафоре: вы нашли багу в катапульте, которая делает катапультирование пилота самолёта невозможной. А они говорят "ну, чтобы катапультирование произошло, нужно сильно ушатать самолёт, а входной барьер для этого высокий". Не надо подменять понятия. Пусть отрабатывают по найденной уязвимости, конкретного механизма. Если такие умные, пусть убирают этот функционал, ведь чтобы им воспользоваться, надо потерять контроль над аккаунтом, а входной барьер для этого очень высок.

                                            +2
                                            Так я им вроде бы это и пытался объяснить, наверное, попробую еще раз, может не поняли.
                                            Спасибо, за отзыв!
                                              –3

                                              Валите загран, нанимаете по всему постсоветскому в регионах отряды (мулов) псевдосммщиков. Отправляете их по всем направлениям бизнеса. Те собирают вам пароли. В этом ничего сложного. Приходишь в любой бизнес сферы услуг. Показываешь интерфейс удаленного доступа на какой-нибудь фришный Амазон с инстасофтом. Как там красивенько на автомате множество аккаунтов крутятся. Получаешь у владельца логин; пароль… И требуете выкуп.
                                              А могли тихонечко работать и зарабатывать. Оно вам надо? Эти багсэндбаунти, ещё и доказывать за эти копейки

                                                0
                                                Да я за идею больше, всегда ожидаю, что за логические баги ничего не выплатят)
                                                0

                                                Надеюсь, у вас всё получится. Жалко когда честную работу сливают по надуманным поводам. Зато крупнейшее русскоговорящее ИТ-коммьюнити оценило, это тоже чего-то стоит.

                                              0
                                              На следующей неделе истекут 30 дней с момента безвозвратного удаления моих аккаунтов из Ig и Fb. Как бы ещё избавиться от богомерзкого Wa?
                                                0
                                                Сами удалили, или facebook удалил вам?
                                                  0
                                                  Сам, конечно.
                                                    –1
                                                    И как вам без инстаграма? Просто многие сейчас там, а не имея там учетной записи особо ничего и не посмотришь.
                                                      +7
                                                      А там нечего смотреть. И тем более читать. Если это что-то действительно важное (sic!), то перепечатают, а источник проверят другие люди.
                                                        0

                                                        А я вот взял за правило — в богомерзкий инстаграмчик без контента не хожу,… Нечего показать — месяцами бывает не открываю.

                                                          +1
                                                          Просто многие сейчас там

                                                          Их проблема?
                                                            0
                                                            почему их, ваши? Ибо многие фото нигде, кроме инстаграма не выкладывают, и как посмотреть, если надо?
                                                              0
                                                              Их проблемы, их. Этих фотографий не существует, вот и всё. Ещё никто не умер от того, что не смог посмотреть фотки с очередной попойки корпоратива.
                                                                +1
                                                                Я тоже придерживаюсь такой политики.

                                                                1) Если человеку надо что-то донести лично для меня, он сделает это напрямую, а не широковещательным образом. Чем более широковещательно, тем менее ценная и нужная для вас информация.
                                                                2) Если человеку надо что-то донести до группы людей, в которую я вхожу, то или мне это не нужно, или он это сделает через канал, к которому я подключён.
                                                                3) На практике, 99.9% ваших социальных связей не нужны ни вам, ни вы им. А те, кто нужны, имеются в каком-нибудь доступе: от телефона с смсками, до известно общего чата. В Ig/Fb/Wa не упёрлось. Так и живём.
                                                                  0
                                                                  2) Если вам надо что-то донести до группы людей, в которую вы входите, или выяснить у этой группы людей, — то вы обзвоните их всех по одному?
                                                                    0
                                                                    Если есть группа людей, в которую я вхожу, с огромной долей вероятности, у неё есть общий чатик в Tg. Или по частям. Или лично, да. Не так сложно пнуть десяток человек. Как вариант, попросить кого-то, кто в контакте с другими, пнуть их.
                                                                    Социальные связи нынче очень дешевые в плане их ценности, если смотреть на каждый день.
                                                                      0
                                                                      Вне СНГ Tg до сих пор не достиг того же проникновения, как Ig/Fb/Wa, и «общий чатик» в 99% случаев будет там.
                                                                        +1
                                                                        Все мои основные контакты или уже были в Tg и общие чатики именно там, или резко перешли в него на прошлой неделе. Осталось пара человек, но в целом, его уже можно сносить, потому что с ними общение редкое, можно по телефону/лично. Так что, здравствуй, 1%!
                                                                        Но я вёл целенаправленную компанию среди людей по переходу из Wa в Tg, потому что Wa — абсолютно конченное говно (было на тот момент) в техническом плане. И остаётся оным с точки зрения спама и прочей ерунды и некоторых технических решений, которые могли придти в голову только идиоту от технологий. И в бизнесе Wa бесполезен. И отношение Wa к разработчикам не выдерживает никакой критики. Так что он идёт лесом.
                                                                      0
                                                                      Благо мне не нужно ))
                                                        +1

                                                        Что-то вы какой то подозрительный, не будем ка его удалять — подумал ФБ после этого комментария...

                                                        +3
                                                        Слушайте, ну ведь реально такие проблемы решаются сапортом, сколько бы там ни дудосили итерациями по восстановлению емейла на очередной емейл злоумышленника.
                                                        Я дважды восстанавливал доступ к протонмейлу(!), один раз забыв пароль, другой раз — логин(!!!), притом что оба раза еще и не привязывал запасного мейла для восстановления. Ничего, разобрались, привязали. Это я к тому, что у инсты наверное еще меньше заморочек по поводу восстановления аккаунта, чем у почтового сервиса, пиарящего себя как самый забезопашенный.
                                                        Меня другое забавляет, коллега как-то восстанавливал угнанный инстаграм, где уже успели все стереть и наложить каких-то своих спамерских фоток. Ему пришлось по одной фотке за раз все это дерьмо вычищать. Напомнило мне ВКонтакте года так до 2010-го, когда была мода вайпать группы сотней альбомов с разноцветным Онотоле, а нормальной админки еще не было, и вот так же надо было все ковырять вручную вместо отката.
                                                          0
                                                          Злоумышленник может начать этот процесс первым — написать с evil1@, что некто evil2@ угнал у него аккаунт, и так раз сто с разных адресов. И к тому моменту, когда прежний владелец аккаунта проснётся и попытается что-то сделать, то окажется, что квота на запросы восстановления доступа к этому аккаунту в поддержку закончилась.
                                                            0
                                                            Маленькие квоты на пару дней на каждый уникальный адрес, с повышенным вниманием к первым итерациям, тогда владелец тоже сможет вставить свои 5 копеек.
                                                          0
                                                          В инстаграме есть еще возможность сменить сам логин. Я так и попался: мне пришло письмо о восстановлении доступа к какому-то левому аккаунту, я подумал, что кто-то по ошибке мою почту ввел и нажал Что-то Не То.
                                                          Оказалось, аккаунт-то был мой, но переименованный. Восстановить-то я его восстановил, но осадочек остался…
                                                            0
                                                            Обычно просят игнорировать, если аккаунт не ваш и вы ничего не делали.
                                                            0
                                                            У фейсбука вообще странная политика. В 2010-2012 регистрировал ФБ, забыл пароль, в 2015 сумел на тот же телефон создать другой аккаунт. В итоге, когда подобрал старый пароль, попадал на старый аккаунт, а при вводе нового — на новый :)
                                                            Пользовался этим для онлайн-игрушек, пока время на них было, поэтому не обращался в поддержку. Сейчас хотел пруфануть, но уже запретили так делать, на старый не попадает, напоминает, что пароль другой.
                                                              +2

                                                              В целом инстаграм это одна большая дыра в безопастности, у меня угоняли аккаунта, притом все что я получил, это набор писем, и возможность возврата аккаунта только через тех подержку, в течении 14 дней, куда им нужно было отослать фото, для того чтобы они сравнили с теми фото что были моём аккаунте до момента пока его не отчистили.
                                                              И инстаграм не посчитал подозрительным что был изменен емел, пароль, номер телефона, имя в акаунте, дескрипшен в акаунте, аватар, и удалены все фотографии.
                                                              Не беда когда это маленький личный аккаунт, но часто угоняют аккаунта с 50к+ подписчиков, и ничего, люди просто заводят новый, и начинают все сначала, так как добиться правды, очень сложно.

                                                                0
                                                                Ого даже так? Думал техподдержка миллиардной социальной сети работает лучше.
                                                                  +2

                                                                  Она работает очень плохо, и даже не меняет своего отношения в зависимости от количества подписчиков. Хотя для многих инстраграм аккаунт это уже способ заработка.

                                                                +1

                                                                Facebook живет немного в своём странном мире. Несколько лет назад на сообщение о возможном перехвате данных они мне ответили, что это требует возможность перехвата трафика, а поэтому крайне маловероятно и неопасно. Ну да, конечно. Но при этом они абсолютно спокойно могут заплатить много денег за крайне малозначительную запись информации в лог, так как формально это подпадает под их программу.

                                                                  0

                                                                  Уже больше года несколько раз в неделю мне на почту приходят письма о проблеме со входом в эаккаунт — у меня пытаются украсть четырех значный ник тупым подбором ) "Хакеры" даже выходили на связь и предлагали четырех значную сумму в долларх в обмен на аккаунт, вот интересно, если согласиться, есть безопасные способы провернуть сделку?

                                                                    0
                                                                    Гарант)
                                                                      0
                                                                      если согласиться, есть безопасные способы провернуть сделку?

                                                                      Не соглашайтесь, у моего друга так увели аккаунт и ничего не заплатили. Там есть какая-то хитрая схема, когда меняешь юзернейм через веб-версию, то он не даёт потом доступ вернуть.
                                                                      +2

                                                                      Т.е. при смене емейла и телефона через веб-версию не надо вводить пароль? Если так, это дно.

                                                                        0
                                                                        Нет, не нужно, в это и проблема.
                                                                        +1

                                                                        Категорически не согласна с ответом Инстаграма. Как мне кажется, у "обычных" людей (т.е. не блогеров с многотысячной аудиторией, не звёзд и т.д.) чаще всего пытаются увести аккаунт не какие-то абстрактные хакеры, а их знакомые — ревнивые партнёры, бывшие, разные недоброжелатели. И у них как раз дофига возможностей получить доступ к почте/номеру телефона и самому телефону. У меня у самой лет 5 назад увели акк, который восстановить я так и не смогла. Точно не помню ответ техподдержки, но что-то вроде того, что на мою настоящую почту у них ничего и не было зарегистрировано)) Вижу, что за столько лет у них ничего не изменилось в плане безопасности.

                                                                        Only users with full accounts can post comments. Log in, please.