Facebook beseitigt Schwachstellen in Instagram

Facebook hat zwei Sicherheitslücken in seinem Fotodienst Instagram geschlossen. Angreifer hätten sie theoretisch ausnutzen können, um die Konten von rund einer Million Nutzer zu kompromittieren. Entdecker der Schwachstellen ist der belgische Sicherheitsforscher Arne Swinnen, der im Rahmen von Facebooks Bug-Bounty-Programm dafür 5000 Dollar Prämie erhalten hat.

Swinnen hatte die beiden Lecks in Instagram gefunden, als er auf einen alten Test-Account zugreifen wollte. Wie er in einem Blogbeitrag ausführt, wurde er bei dem Versuch zu einer Seite umgeleitet, auf der er wegen längerer Inaktivität sein Konto verifizieren sollte. Da er keine Telefonnummer hinterlegt hatte, blieb ihm nur die Möglichkeit der E-Mail-Verifizierung.

Dabei fiel Swinnen auf, dass die Seite zum einen keine Authentifizierungsprotokolle nutzte und zum anderen ihre Webadresse die für jeden Nutzer einzigartige Instagram-ID enthielt. Zwar stellt dies nicht zwingend ein Problem dar, doch Swinnen konnte durch den Austausch einiger Ziffern die entsprechenden Einstiegsseiten eines geringen Prozentsatzes anderer Nutzer aufrufen, deren Acoounts ebenfalls vorübergehend gesperrt waren. Im Anschluss gelang es ihm, die damit verknüpften E-Mail-Adressen zu ändern.

„Sobald ein Angreifer die mit einem Instagram-Konto verknüpfte E-Mail-Adresse festlegen kann, ist er in der Lage, das Passwort per E-Mail zurückzusetzen und die vollständige Kontrolle über das Konto zu übernehmen“, schreibt der Sicherheitsforscher in seinem Blog. „Das hat große Auswirkungen auf die Sicherheit, aber es sind nur 0,17 Prozent der Konten betroffen.“

Bei seinen weiteren Nachforschungen stellte Swinnen fest, dass auch mit den anfälligen Konten verknüpfte Telefonnummern geändert werden konnten. Auf diese Weise sei bei 3,88 Prozent der vorübergehend gesperrten Accounts das Zurücksetzen des Passworts per SMS möglich gewesen. Eine kurze manuelle Überprüfung seinerseits ergab zudem, dass eine Reihe von Konten, die kompromittierbar waren, nur für wenige Wochen inaktiv waren und zahlreiche Follower hatten.

Swinnen war es nach eigener Aussage nicht möglich, die Angriffe zur Kontenübernahme zu reproduzieren, weil er sonst die legitimen Konten von Instagram-Nutzern hätte angreifen müssen. Seine Erläuterungen zu der fehlenden Authentifizierung und der Insecure-Direct-Object-Reference-Lücke waren für Facebook aber dennoch ausreichend, um die Schwachstellen zu beseitigen und ihn für seinen Fund zu entlohnen.

Swinnen hatte Facebook am 14. März über die Sicherheitslücken informiert. Binnen 24 Stunden waren sie geschlossen, indem auf Seiten zur Änderung von Profilinformationen wie E-Mail-Adresse oder Telefonnummer nun eine Authentifizierung nötig ist. Zehn Tage später, also am 25. März, sprach Facebook Swinnen dann die Prämie von 5000 Dollar zu.

[mit Material von Charlie Osborne, ZDNet.com]

Tipp: Sind Sie ein Facebook-Experte? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.