حمله‌ی جست‌وجوی فراگیر

به گزارش واحد متخصصین سایبربان؛ یک محقق، مبلغ پنج هزار دلار جایزه از فیس‌بوک دریافت کرد، چراکه دو آسیب‌پذیری را یافته که به نفوذگران اجازه می‌داد حمله‌ی جست‌وجوی فراگیر علیه رمزهای عبور حساب اینستاگرام انجام دهند. 

آرن سوینن محقق شکارچی حفره متوجه شد که عوامل مخرب می‌توانند با استفاده از نرم‌افزار رسمی اندروید و صفحه ثبت‌نام instagram.com علیه حساب‌های اینستاگرام حمله‌ی جست‌وجوی فراگیر انجام دهند. 

اولین آسیب‌پذیری که سوینن به فیس‌بوک گزارش داد در اواخر ماه دسامبر بود و می‌توانست مورد بهره‌برداری قرار گیرد تا علیه دامنه‌های احراز هویت که به‌وسیله‌ی نرم‌افزار اندروید اینستاگرام استفاده می‌شوند، حملات جست‌وجوی فراگیر انجام شود. 

این محقق متوجه شد که سامانه احراز هویت، پیش از آنکه پیامی مبنی بر عدم وجود نام کاربری و رمز عبور نشان دهد، اجازه‌ی انجام ۱۰۰۰ حدس را به کاربر یا مهاجم می‌دهد. بااین‌حال، این پیام تنها زمانی نشان داده می‌شود که تلاش دوهزارم انجام می‌شود و تازه پس‌ازآن زمان است که روی آن سامانه، بررسی پاسخ صحیح به‌صورت اینکه رمز عبور صحیح نیست و یا کاربر شناخته نشد، انجام می‌شود. 

با توجه به گفته‌های سوینن، مهاجم می‌تواند یک اسکریپت بسازد که به‌سادگی پاسخ‌های تأیید نشده را تکرار کند تا زمانی که یک پاسخ صحیح به دست آورد. این کارشناس خود یک اسکریپت ساخته است که ۱۰۰۰۱ رمز عبور را علیه یک حساب کاربری آزمایشی انجام می‌دهد. 

علاوه بر این، این آزمون نشان می‌دهد که یک مهاجم می‌تواند از همان نشانی IP که برای حمله جست‌وجوی فراگیر استفاده‌شده، وارد حساب کاربری قربانی شود، امری که نشان‌دهنده این است که کنترل‌های امنیتی طراحی‌شده برای حفاظت از حساب‌ها علیه ورود غیرمجاز به‌درستی کار نمی‌کنند. 

دومین آسیب‌پذیری که به‌وسیله‌ی سوینن در ماه فوریه گزارش‌شده است، بر روی صفحه‌ی ثبت‌نام وب‌گاه اینستاگرام تأثیر می‌گذارد. این محقق یک حساب آزمایشی را ثبت کرد و درخواستی را که در حین ثبت‌نام به کارگزارهای اینستاگرام فرستاده می‌شود، نمونه‎برداری کرد. هنگامی‌که او دقیقاً همان درخواست را با همان مشخصات تکرار کرد، یک پیام به این عنوان دریافت کرد: «این اعتبارنامه متعلق به یک حساب کاربری فعال است». 

ازآنجایی‌که هیچ محدودیتی در آنجا اعمال نشده است، یک مهاجم می‌تواند با ساخت یک اسکریپت درخواست‌هایی با رمزهای عبور مختلف برای یک نام کاربری ارسال کند. اگر این درخواست با پاسخ «ناموفق» بازگردد، رمز عبور نادرست بوده است ولی اگر این درخواست با پاسخی مبنی بر اینکه این حساب کاربری متعلق به یک حساب فعال است، پاسخ داده شود، رمز عبور صحیح بوده است. 

فیس‌بوک هر دو این مشکلات را با محدود کردن تعداد تلاش‌ها برای ورود وصله کرده است. این محقق گفته است که این شرکت علاوه بر این برخی بهبودها نیز در سیاست‌گذاری رمزهای عبور خود انجام داده است تا کاربران را از گذاشتن رمزهای عبور به شکل "password" و  ۱۲۳۴۵۶  منع کند. 

این غول رسانه‌های اجتماعی به خاطر گزارش این دو حفره به فیس‌بوک درمجموع ۵۰۰۰ دلار پاداش اهداء کرده است. 

سوینن اشاره‌کرده است که حملات جست‌وجوی فراگیر علیه حساب‌های اینستاگرام یک تهدید جدی برای خدماتی است که بیش از ۴۰۰ میلیون نفر عضو دارد و گفته که احراز هویت دو عامله تنها اقدام امنیتی صحیحی است که اکنون می‌تواند اعمال شود. سیاست‌گذاری به شکل رمزهای عبور نسبتاً ضعیف است و هیچ کنترل امنیتی در این میان وجود ندارد و نام‌های کاربری به‌راحتی می‌توانند شمرده شوند. 

سوینن تنها شکارچی حفره‌های امنیتی نیست که آسیب‌پذیری‌های جدی را در اینستاگرام یافته است. چند هفته قبل، یک پسر ده‌ساله از فنلاند به خاطر کشف یک حفره که به افراد اجازه می‌داد تا به‌راحتی نظرات را حذف کند، ده هزار دلار پاداش دریافت کرد.