Компания Facebook, которой принадлежит соцсеть Instagram подвергает пользоваталей фотосервиса довольно серьезной угрозе, сообщил сайт Kaspersky.ru. Оказалось, что получаемые и передаваемые мобильным приложением Instagram данные не шифруются должны образом, а значит хранимая в программе пользовательская информация уязвима. Представители Facebook, правда, уже заявили о планах внедрения полноценного шифрования, но точной даты пока не назвали.
Суть уязвимости довольно проста: во время того как вы используете сервис Instagram на своем мобильном устройстве, злоумышленник, находящийся с вами в одной WiFi-сети, при желании может перехватывать просматриваемые вами изображения, получить доступ к cookie и выудить оттуда ваш логин и имя аккаунта. В случае, когда все данные шифруются, прочитать их, даже в случае полного перехвата, будет практически невозможно.
Информация об уязвимости стала достоянием общественности благодаря Мазену Ахмеду, специалисту по информационной безопасности в компании Defensive-Sec, который исследовал работу Android-версии приложения. Изучая получаемые и передаваемые программой данные, он заметил, что шифрованию подвергается не весь трафик, а лишь его часть. То есть внушительная часть данных, в том числе и приватных, передается в открытом виде, а значит может быть без труда прочитана при условии перехвата.
Сразу после выявления уязвимости Ахмед сделал соответствующий пост в своем блоге, где в числе прочего написал о том, что он связался с представителями Facebook и даже получил от них ответ, правда, не самый обнадеживающий: «В Facebook данный вопрос подробно обсуждался, и мы планируем перевести весь Instagram на работу с HTTPS. На данный момент Facebook осознает все риски, возникающие при работе Instagram с HTTP вместо HTTPS. Мы в курсе проблемы и работаем над ее устранением в будущем».
Тем, кто по каким-то причинам беспокоится за неприкосновенность своего Instagram-трафика, Ахмед рекомендует воздержаться от использования мобильного приложения по крайней мере до тех пор, пока Facebook не воспримет проблему всерьез и не обеспечит полноценное шифрование передаваемым данным.
