Instagram: Abgreifen von Daten via Man in the Middle-Attacke möglich

Instagram ist so ein soziales Netzwerk, das vor allem viel unterwegs genutzt wird. Hierbei sollte man aber vorsichtig sein, wenn man offene oder WEP verschlüsselte WLANs bemüht, um Freunde mit Bildern auf dem Laufenden zu halten. Sicherheitsforscher Mazin Ahmed hat herausgefunden, dass die Daten von Smartphone an die Instagram Server ohne Verschlüsselung gesendet werden. Das ist bereits seit 2012 der Fall, wurde bisher aber von Instagram nicht weiter beachtet.

Instagram_WP8_030

Mazin Ahmed hat sich natürlich direkt an Facebook gewendet, schließlich gehört Instagram seit geraumer Zeit zu dem Unternehmen von Mark Zuckerberg. Eine Antwort erhielt er auch, diese ist allerdings nicht gerade beruhigend. Die Lücke ist bei Facebook bekannt und „man akzeptiere im Moment das Risiko der Datenübertragung über http an Stelle von https,“ lautet es in der E-Mail. Gleichzeitig kündigt Facebook aber auch an, alles bei Instagram auf https umstellen zu wollen. Allerdings gibt es dafür keinen konkreten Zeitplan.

Die Daten, die übertragen werden, beinhalten Bildinformationen, den Nutzernamen, die Nutzer-ID und den Session-Cookie. Werden diese Daten über einen Man-in-the-Middle-Angriff abgegriffen, kann man die Session übernehmen und somit den betroffenen Instagram-Account kapern. Es reicht der Login in der App, man muss noch nicht einmal ein Bild hochladen. Wie so ein Angriff funktionieren kann, könnt Ihr für Instagram an dieser Stelle nachlesen. Schwierig sieht das nicht aus.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Sascha Ostermaier

Technik-Freund und App-Fan. In den späten 70ern des letzten Jahrtausends geboren und somit viele technische Fortschritte live miterlebt. Vater der weltbesten Tochter (wie wohl jeder Vater) und Immer-Noch-Nicht-Ehemann der besten Frau der Welt. Außerdem zu finden bei Twitter (privater Account mit nicht immer sinnbehafteten Inhalten) und Instagram. PayPal-Kaffeespende an den Autor.

Das könnte dir auch gefallen…

Mit dem Absenden eines Kommentars willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

8 Kommentare

  1. Instawas? Sehe nur noch alle Schaltjahr mal ein Foto auf Instagram bei Twitter oder FB. Der Hype ist wohl vorbei.

    Daran sieht man aber mal wieder Arroganz der Großen.

  2. rantanplan says:

    Wieso bedarf es da denn überhaupt Man in the middle Angriffe in nem shared medium wie Wlan? Die Daten sind ja nicht verschlüsselt, da kann ich die auch so einfach mitlesen. Anders sähe es aus, wenn nur Authentication fehlerhaft wäre.

  3. Die MITM Attacken sind mit fast jeder App möglich! Ist ja nix neues… Selbst SSL-Pinning wie es bspw. Threema nutzt, kann ausgehebelt werden…

  4. Vertrauliche Daten gehören eben nicht in soziale Netzwerke, schon gar nicht, wenn sie Zuckerberg gehören. Der hat doch schon früher das „end of privacy“ ausgerufen. Verschlüsselung geht ihm am Ar$¢h vorbei. Wer so was nutzt und sich dann Sorgen über Datensicherheit macht, dem ist nicht mehr zu helfen.

  5. Uff, eigtl. ein guter Beitrag, aber der erste Absatz ist übel (Flüchtigkeitsfehler, Satzbau, …)

  6. Der erste Absatz spiegelt leider die Qualität des Beitrages wieder. 🙁

    Es spricht ja absolut nichts gegen den Hinweis der Übertragungswege und Schreibfehler passieren auch, kein Problem.
    Was mich aber stört ist das leichte Abdriften ins Bild-Niveau. Mir vergeht dabei die Lust mir den Blog intensiv anzuschauen, obwohl ich AdBlock extra deaktiviert habe.
    Aber 1x vor dem schlafen gehen den RSS zu diesem Blog checken und 90% ohne zu lesen weg zu wischen… Ist schade, früher war das anders.

  7. Der erste Absatz wurde bearbeitet. Danke! 🙂

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.
Wir benutzen Cookies um die Nutzerfreundlichkeit der Webseite zu verbessen. Durch Deinen Besuch stimmst Du dem zu.