Aggiornamenti recenti Aprile 26th, 2024 9:14 AM
Lug 16, 2019 Marco Schiaffino In evidenza, News, RSS, Vulnerabilità 0
L’utilizzo dei codici inviati via SMS non è uno strumento particolarmente sicuro quando viene usato come sistema di autenticazione a due fattori. Se viene usato come unico strumento per l’autenticazione, però, rischia di trasformarsi in una vera voragine di sicurezza.
Per spiegarlo agli sviluppatori di Instagram, però, c’è voluto l’intervento di Laxman Muthiyah, un ricercatore di sicurezza che ha scovato una clamorosa falla nel sistema di autenticazione del social network.
Come spiega in un articolo pubblicato su Internet, nella sua attività di “cacciatore di bug” Muthiyah si è concentrato per qualche tempo sul sistema di recupero della password di Instagram. Il social network, infatti, prevede diverse modalità per chiedere il reste della password.
Quello per la versione Web utilizza un classico link che ha tutte le carte in regola per resistere a qualsiasi attacco. Quello per mobile, invece, sfrutta un codice a sei cifre che viene inviato tramite SMS al telefono del legittimo proprietario dell’account.
Ciò è che si è chiesto Muthiyah è: cosa succede se qualcuno prova a violare il codice provando tutte le possibili combinazioni?
Teoricamente, operazioni come queste (con un codice a sei cifre stiamo parlando di un milione di possibili combinazioni) dovrebbero essere bloccate automaticamente. Prima di escludere a priori l’ipotesi, però, il ricercatore ha deciso di provarci.
Il primo tentativo, spiega nel suo articolo, gli ha permesso di capire che il sistema di protezione scelto da Instagram contro gli attacchi di brute forcing è quello di limitare il numero di tentativi di accesso. Non solo: la validità del codice è di 10 minuti.
Nello specifico, Muthiyah ha scoperto di essere in grado di inviare fino a un massimo di 200 codici in 10 minuti da un singolo computer.
Quello che ha scoperto, però, è che il sistema di protezione considera soltanto il singolo dispositivo, individuandolo attraverso l’indirizzo IP. Un attacco contemporaneo da parte di più computer (o da differenti indirizzi IP) però, può far saltare la protezione.
Nel video qui sopra, Muthiyah mostra come sia riuscito a eseguire 200.000 tentativi di accesso utilizzando 1.000 indirizzi IP.
Per garantire un successo al 100%, di conseguenza, basterebbe utilizzare 5.000 IP differenti e una potenza di calcolo sufficiente per inviare un milione di richieste in 10 minuti. Impossibile? Non proprio. Secondo il ricercatore, le risorse su cloud per un’operazione del genere richiedono un investimento di soli 150 dollari.
Molti se si pensa di hackerare account a caso, ma decisamente pochi se si vuole colpire uno specifico bersaglio di “alto profilo”, come un politico o una celebrità.
Prima di correre ad affittare server su Amazon, sappiate che dopo la segnalazione di Muthiyah Instagram ha tempestivamente corretto la falla di sicurezza, ricompensando il ricercatore con 30.000 dollari.
La cifra (piuttosto modesta) riconosciuta come “taglia” per il bug è giustificata, tutto sommato, dalla relativa pericolosità del bug. Per poter portare l’attacco, infatti, è necessario conoscere il numero di telefono della vittima. Un dettaglio che, nel caso di bersagli di alto profilo, non dovrebbe essere facile da ottenere.
Mar 04, 2024 0
Gen 30, 2023 0
Ott 06, 2022 0
Mag 24, 2022 0
Apr 26, 2024 0
Apr 24, 2024 0
Apr 24, 2024 0
Apr 23, 2024 0
Apr 24, 2024 0
ToddyCat, un gruppo APT che colpisce prevalentemente...Apr 18, 2024 0
La corsa all’IA generativa ha spinto i produttori di...Apr 16, 2024 0
LockBit continua a colpire le organizzazioni di tutto il...Apr 15, 2024 0
Il 41% delle imprese italiane subisce mensilmente attacchi...Apr 12, 2024 0
In occasione del Privacy Tour 2024, l’iniziativa del...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Ott 28, 2016 0
Il pirata informatico che ha creato il ransomware cerca...Ott 11, 2016 0
Dopo la raffica di figuracce, l’azienda sospende per...Apr 26, 2024 0
I ricercatori di Avast hanno scoperto una nuova campagna...Apr 24, 2024 0
I ricercatori di Cisco Talos hanno scoperto una nuova...Apr 24, 2024 0
ToddyCat, un gruppo APT che colpisce prevalentemente...Apr 23, 2024 0
In occasione dell’Italian Partner Conferencetenutasi...Apr 23, 2024 0
Un team di ricercatori ha sviluppato quello che ritengono...