Instagram-Sicherheitslücke ermöglichte Abruf privater Fotos
Sicherheitsexperte Christian Lopez hatte bereits im August 2013 eine im Fotonetzwerk Instagram entdeckte Lücke an Facebook gemeldet. Instagram gehört seit fast zwei Jahren dem weltweit größten Social Network Facebook. Über die Sicherheitslücke konnten
im Namen eines angemeldeten Nutzers alle privaten Fotos eingesehen und auch öffentlich gemacht werden. Möglich war dies, weil sich Web-Browser und Mobil-App die gleiche Sitzung teilten. Dies erlaubte Angreifer im Web-Browser ungeprüft Befehle an die App-Schnittstelle von Instagram zu senden.
Anfang Februar hat nun Facebook die Sicherheitslücke behoben, indem unter anderem die Sitzungen zwischen Browser und App getrennt werden. Außerdem wird geprüft, ob die Befehle von einer zulässigen Quelle stammen. In seinem Blog zeigt sich Lopez erstaunt, wie lange Facebook benötigte, um die Lücke zu beheben. Allerdings gibt er zu bedenken, dass wegen der Kompatibilität zu älteren App-Versionen die Sicherheitslücke wahrscheinlich nur zeitversetzt geschlossen werden konnte, um nicht zu viele Nutzer nach einem App-Update auszuschließen. Instagram-Nutzern wird daher empfohlen, sofern nicht schon geschehen, auf die aktuelle App-Version zu aktualisieren.
Weiterführende Links: