Pengguna iPhone Instagram, Waspadalah!
JAKARTA, SENIN – Kalau kamu pakai iPhone Instagram, kamu perlu berhati-hati. Peneliti sekuriti Carlos Reventlov telah menemukan lubang dalam Instagram version 3.1.2 di iPhone 4 (iOS 6) yang menyebabkan akun pengguna Instagram bisa diserang. Secara khusus, pengguna rentan akan pengintaian parsial dan serangan man-in-the-middle yang bisa digunakan peretas untuk menghapus foto-foto atau bahkan mengambil alih akun pengguna dan mengunduh foto-foto pribadi kamu.
Data login dan profil Instagram dikirimkan via koneksi HTTPS yang sudah diamankan, tetapi permintaan lainnya dikirimkan melalui HTTP biasa yang menggunakan cookie tanpa enkripsi untuk otentikasinya. Jika seorang penyerang terkoneksi ke LAN yang sama dengan pengguna iPhone, maka ia bisa mengambil alih akun tersebut.
“Seorang penyerang pada LAN yang sama dengan si korban dapat meluncurkan arpspoofing sederhana untuk mengelabui Iphone agar melewatkan trafik port 80 ke mesin si penyerang,” tulis Reventlov. “Ketika si korban mengaktifkan app Instagram, cookie teks biasa (plain text) dikirimkan ke server Instagram, [dan] begitu si penyerang mendapatkan cookie, ia akan bisa membuat permintaan HTTP khusus untuk mengambil data dan menghapus foto-foto.”
Reventlov menyarankan perbaikan yang implementasinya sederhana. Dia menyarankan penggunaan HTPPS untuk semua permintaan API yang mengandung data sensitive dan sebuah body signature untuk permintaan yang tidak terenkripsi. Dia telah mengirimkan penemuan dan konsep buktinya ke Instagram nyaris sebulan lalu, dan menurut situs web-nya, dia hanya menerima jawaban otomat. Dan per 20 November, lubang itu tetap belum ditambal.