Carlos Reventlov, un ricercatore specializzato nella sicurezza delle applicazioni, avrebbe recentemente pubblicato il codice di un exploit grazie al quale sarebbe possibile sfruttare i cookie dell’applicazione Instagram (proprietà di Facebook) per l’accesso non autorizzato agli account registrati.
Ad essere coinvolta dalla minaccia sarebbe in particolare la release 3.2.1 per la piattaforma mobile iOS che è disponibile sull’App Store dalla fine dello scorso dicembre; scoperta il 10 novembre scorso, la vulnerabilità sarebbe ancora oggi lontana dall’essere corretta.
L’exploit di Reventlov è stato confezionato in modo da sfruttare una tecnica di attacco denominata ARP (Address Resolution Protocol) spoofing, attraverso di essa sarebbe possibile prendere il controllo di un account tramite l’invio di falsi messaggi appositamente concepiti per agire sul traffico di rete modificandolo o bloccandolo.
A rendere questo attacco particolarmente pericoloso sarebbe il fatto che alcuni dati circolanti all’interno del network di Istagram verrebbero trasmessi "in chiaro" (cioè non crittografati) e potrebbero diventare facilmente leggibili attraverso un comune cookie registrato da un browser e inviato al server del servizio.
