instagram influencer

È impossibile sapere quanti utenti ne siano rimasti vittima prima di oggi, ma da pochi giorni una pericolosa quanto banale falla di Instagram ha smesso di fare danni. Risolto nel corso di settimana scorsa, il bug permetteva a chiunque ne fosse a conoscenza di prendere completamente il controllo dei profili di chiunque, semplicemente partendo dal nome utente e dal numero di telefono associato all'account. Il merito della soluzione va a Laxman Muthiyah, sviluppatore software che ha allertato Facebook con la sua scoperta e che per la sua opera è stato ricompensato con 30.000 dollari dalla società.

L'attacco che Muthiyah ha ideato per dimostrare l'esistenza del bug sfruttava il sistema di recupero delle password di Instagram il quale, dopo aver chiesto il numero di telefono associato all'account invia tramite SMS un codice di 6 cifre da inserire nell'app, per darle conferma di essere effettivamente il legittimo proprietario del profilo e procedere con la reimpostazione della password.

Una falla banale

Per aggirare questo controllo blocco lo sviluppatore ha sfruttato un semplice programma che tenta di indovinare il codice temporaneo partendo dalla prima sequenza possibile, 000000, e arrivando all'ultima, ovvero 999999. Incredibilmente infatti le protezioni messe in piedi da Instagram non imponevano nessun blocco di sicurezza per gli account risultati così palesemente a rischio intrusione; semplicemente si limitavano a imporre uno stop temporaneo dopo l'immissione di poco più di 200 codici errati.

In effetti 200 tentativi inframmezzati da periodi di pausa sono comunque pochi per indovinare un codice su un milione di possibilità, soprattutto considerando che dopo 10 minuti il codice temporaneo inviato tramite SMS scade e ne serve un altro. Per ovviare a questo problema però è bastato moltiplicare i tentativi di immissione istruendo più macchine ad agire in modo coordinato, spartendosi i tentativi. Nella prova lo sviluppatore ha usato 1.000 diversi indirizzi IP riuscendo dunque a inoltrare quasi contemporeneamente 200.000 codici, ovvero il 20% di quelli necessari a coprire l'intera gamma di quelli possibili.

La prova empirica della procedura inviata al gruppo Facebook è bastata agli ingegneri della piattaforma per ammettere il problema, ricompensare lo sviluppatore e tappare la falla presente nel sistema. Per guadagnare l'accesso ai profili attaccati in modo quasi istantaneo sarebbe infatti bastato portare a 5.000 il numero di dispositivi pronti a effettuare l'attacco e, come fa notare Muthiyah, un numero simile di macchine si può tranquillamente noleggiare attraverso un provider di servizi cloud come Amazon o Google per meno di 200 dollari.