Gebruikers van Instagram zijn gewaarschuwd voor een kwetsbaarheid waardoor aanvaller het account tijdelijk kunnen overnemen. Het probleem wordt veroorzaakt doordat Instagram app voor de iPhone met de Instagram API via HTTPS en HTTPs verbindingen communiceert. Het inloggen is versleuteld, maar de overige requests gaan over HTTP. Een aanvaller die deze requests kan onderscheppen, kan zich als het slachtoffer voordoen.

Een aanvaller op hetzelfde netwerk als het slachtoffer, bijvoorbeeld een openbaar WiFi-netwerk, kan een eenvoudige arpspoofing-aanval de iPhone misleiden om het verkeer van poort 80 via de machine van de aanvaller te laten lopen. "Als het slachtoffers de Instagram-app start wordt een cookie in platte tekst naar de Instagram-server gestuurd", zegt beveiligingsonderzoeker Carlos Reventlov.

Cookie
Een aanvaller die dit cookie in handen krijgt, kan vervolgens foto's opvragen en verwijderen. Reventlov ontdekte het probleem op 10 november. Een dag later informeerde hij Instagram, maar kreeg een geautomatiseerd bericht. Vervolgens ging hij op 20 november over tot full-disclosure. Als bewijs publiceerde hij een proof-of-concept exploit. Het Deense Secunia heeft het probleem bevestigd.

De kwetsbaarheid is nog altijd niet opgelost, maar Reventlov adviseert Instagram om HTTPs te gebruiken voor alle API requests die gevoelige data kunnen bevatten.