Instasheep โปรแกรมปลอมตัวเป็นคนอื่นใน Instagram
  เมื่อช่วงปี 2010 ในสมัยที่เฟซบุ๊กยังไม่เข้ารหัสทั้งหมดเช่นทุกวันนี้แอพพลิเคชั่นหนึ่งที่ดังขึ้นมาคือ 



Firesheep ที่สามารถดังหฟังข้อความของผู้ใช้บน Wi-Fi ที่ไม่เข้ารหัสได้ จนกระทั่งเฟซบุ๊กยอมเข้ารหัสบริการทั้งหมดในปี 2011 ตอนนี้บริษัทลูกของเฟซบุ๊ก คือ Instagram ก็โดนนักวิจัยสร้างแอพพลิเคชั่นแบบเดียวกันแล้ว โดยเตรียมสร้างเป็นแอพพลิเคชั่นที่ชื่อว่า Instasheep
Instagram เข้ารหัสเป็น HTTPS "เฉพาะ" เมื่อกำลังดูภาพที่ส่งตรงถึงตัวเรา แต่กลับไม่เข้ารหัสเมื่อเราดูไทม์ไลน์ตามปกติ แต่การเข้าถึงภาพที่ส่งตรงกลับใช้ cookie ชุดเดียวกับการดูไทม์ไลน์ที่ไม่เข้ารหัส
แนวทางการเจาะระบบเช่นนี้ไม่ใช่เรื่องแปลกใหม่นัก โดยเหยื่อจะต้องใช้ Wi-Fi ที่ไม่เข้ารหัส หรือเข้ารหัสแบบ WEP เพื่อให้ถอดรหัสได้ จากนั้นก็ดักฟังทุกข้อความที่ส่งไปยังเครื่อง i.instagram.com เพื่อตรวจหา cookie สำหรับการล็อกอิน จากนั้นใช้ cookie ชุดเดียวกันเข้า URL https://i.instagram.com/api/v1/direct_share/inbox/ เพื่อไปดึงภาพที่ส่งตรงถึงตัวเรา
กระบวนการนี้ไม่ได้ใช้ความรู้พิเศษอะไรนัก วิศวกรคอมพิวเตอร์ที่รู้จักเครื่องมือตรวจสอบเครือข่ายบ้างน่าจะทำได้เป็นส่วนใหญ่ ตัว Stevie Graham ผู้รายงานปัญหานี้ก็ระบุว่ากำลังสร้างเครื่องมือเฉพาะ หากสำเร็จเมื่อไหร่คนทั่วไปที่ไม่ต้องรู้อะไรนักก็อาจจะปลอมตัวเป็นคนอื่นได้โดยง่าย
ช่องโหว่แบบเดียวกันนี้เกิดขึ้นได้เสมอกับทุกเว็บที่ไม่ได้เข้ารหัสทั้งหมด ในไทยเองเว็บบอร์ดที่ไม่ใช่เว็บอีคอมเมิร์ช ก็มักไม่เข้ารหัสกันเป็นส่วนใหญ่



Create Date : 01 สิงหาคม 2557
Last Update : 1 สิงหาคม 2557 9:33:05 น.
Counter : 756 Pageviews.

0 comments
ชื่อ :
Comment :
 *ใช้ code html ตกแต่งข้อความได้เฉพาะสมาชิก
 
ยืนยันรหัสความปลอดภัย :
(กรอกตัวเลขที่ปรากฎในภาพ)

kayaoka1
Location :
  

[ดู Profile ทั้งหมด]
ให้ทิปเจ้าของ Blog [?]
 ฝากข้อความหลังไมค์
 Rss Feed
 Smember
 ผู้ติดตามบล็อก : 5 คน [?]



สิงหาคม 2557

 
 
 
 
 
16
17
23
24
27
 
 
All Blog