Instagram: Abgreifen von Daten via Man in the Middle-Attacke möglich

Instagram ist so ein soziales Netzwerk, das vor allem viel unterwegs genutzt wird. Hierbei sollte man aber vorsichtig sein, wenn man offene oder WEP verschlüsselte WLANs bemüht, um Freunde mit Bildern auf dem Laufenden zu halten. Sicherheitsforscher Mazin Ahmed hat herausgefunden, dass die Daten von Smartphone an die Instagram Server ohne Verschlüsselung gesendet werden. Das ist bereits seit 2012 der Fall, wurde bisher aber von Instagram nicht weiter beachtet.

Instagram_WP8_030

Mazin Ahmed hat sich natürlich direkt an Facebook gewendet, schließlich gehört Instagram seit geraumer Zeit zu dem Unternehmen von Mark Zuckerberg. Eine Antwort erhielt er auch, diese ist allerdings nicht gerade beruhigend. Die Lücke ist bei Facebook bekannt und „man akzeptiere im Moment das Risiko der Datenübertragung über http an Stelle von https,“ lautet es in der E-Mail. Gleichzeitig kündigt Facebook aber auch an, alles bei Instagram auf https umstellen zu wollen. Allerdings gibt es dafür keinen konkreten Zeitplan.

Die Daten, die übertragen werden, beinhalten Bildinformationen, den Nutzernamen, die Nutzer-ID und den Session-Cookie. Werden diese Daten über einen Man-in-the-Middle-Angriff abgegriffen, kann man die Session übernehmen und somit den betroffenen Instagram-Account kapern. Es reicht der Login in der App, man muss noch nicht einmal ein Bild hochladen. Wie so ein Angriff funktionieren kann, könnt Ihr für Instagram an dieser Stelle nachlesen. Schwierig sieht das nicht aus.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Avatar-Foto

*Mitglied der Redaktion 2013 bis 2019*

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

8 Kommentare

  1. Instawas? Sehe nur noch alle Schaltjahr mal ein Foto auf Instagram bei Twitter oder FB. Der Hype ist wohl vorbei.

    Daran sieht man aber mal wieder Arroganz der Großen.

  2. rantanplan says:

    Wieso bedarf es da denn überhaupt Man in the middle Angriffe in nem shared medium wie Wlan? Die Daten sind ja nicht verschlüsselt, da kann ich die auch so einfach mitlesen. Anders sähe es aus, wenn nur Authentication fehlerhaft wäre.

  3. Die MITM Attacken sind mit fast jeder App möglich! Ist ja nix neues… Selbst SSL-Pinning wie es bspw. Threema nutzt, kann ausgehebelt werden…

  4. Vertrauliche Daten gehören eben nicht in soziale Netzwerke, schon gar nicht, wenn sie Zuckerberg gehören. Der hat doch schon früher das „end of privacy“ ausgerufen. Verschlüsselung geht ihm am Ar$¢h vorbei. Wer so was nutzt und sich dann Sorgen über Datensicherheit macht, dem ist nicht mehr zu helfen.

  5. Uff, eigtl. ein guter Beitrag, aber der erste Absatz ist übel (Flüchtigkeitsfehler, Satzbau, …)

  6. Der erste Absatz spiegelt leider die Qualität des Beitrages wieder. 🙁

    Es spricht ja absolut nichts gegen den Hinweis der Übertragungswege und Schreibfehler passieren auch, kein Problem.
    Was mich aber stört ist das leichte Abdriften ins Bild-Niveau. Mir vergeht dabei die Lust mir den Blog intensiv anzuschauen, obwohl ich AdBlock extra deaktiviert habe.
    Aber 1x vor dem schlafen gehen den RSS zu diesem Blog checken und 90% ohne zu lesen weg zu wischen… Ist schade, früher war das anders.

  7. Der erste Absatz wurde bearbeitet. Danke! 🙂

Es werden alle Kommentare moderiert. Lies auch bitte unsere Kommentarregeln:

Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor.

Du willst nichts verpassen?

Du hast die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren.