L’app mobile di Instagram cripta le informazioni in forma parziale

A quanto pare Facebook non sta criptando tutto il traffico in entrata e in uscita da Instagram, la nota applicazione che permette agli utenti di scattare foto, applicare filtri e condividerle su numerosi social – ora acquisita da Facebook.

A quanto pare Facebook non sta criptando tutto il traffico in entrata e in uscita da Instagram, la nota applicazione che permette agli utenti di scattare foto, applicare filtri e condividerle su numerosi social – ora acquisita da Facebook.

Nonostante l’azienda abbia assicurato che in futuro implementerà una crittografia completa, non ha ancora stabilito una data entro la quale la transizione sarà completata. In altre parole, quando usate Instagram con il vostro telefono cellulare, un hacker potrebbe potenzialmente monitorare le foto che state visualizzando o inviando, sorvegliare la sessione dei cookie e identificare il vostro username e ID.

Al momento Facebook ha accettato i rischi che possono scaturire dall’aver una parte dell’applicazione che comunica via HTTP e non via HTTPS.

Sul suo blog personale, Mazen Ahmed, information security specialist presso Defensive-Sec, ha scritto un articolo che trattava appunto della mancanza di crittografia su Instagram. L’esperto ha testato la versione Android di Instagram usando un packet sniffer, un software per analisi del protocollo chiamato WireShark.

WireShark è in grado di osservare tutto il traffico presente sulla rete a cui si ha avuto accesso, sia che si tratti di una rete domestica, sia nel caso qualcuno stia osservando il flusso di dati su di una rete pubblica. Se i dati sono stati criptati, sarà impossibile leggere i pacchetti. Se i dati non sono stati criptati, questi saranno visibili via WireShark in plain-text, in formato leggibile.inoltre, Ahmed si è reso conto che Instagram stava criptando solo una parte del traffico che passava attraverso l’applicazione mobile, e non l’intero traffico.

In un’intervista concessa a Kaspersky Daily, Ahmed ci racconta di aver testato il traffico di Instagram dal suo Android. L’esperto ritiene che si potrebbero realizzare attacchi anche su iOS perché entrambe le app si affidano allo stesso server, server che non sembra adottare il protocollo SSL in una forma uniforme.

Nel suo articolo Ahmed afferma di essersi messo in contatto con Facebook che – riportiamo la loro risposta – afferma di essere a conoscenza dell’incompletezza della natura del sistema crittografico di Instagram:

“Facebook ha preso in considerazione l’idea di spostare tutto il traffico da Instagram all’HTTPS, ma non c’è ancora una data definitiva. Al momento Facebook ha accettato i rischi che possono scaturire dall’aver una parte dell’applicazione che comunica via HTTP e non via HTTPS. Siamo a conoscenza del problema e stiamo lavorando per risolverlo”.

La redazione di Kaspersky Daily ha contattato Facebook per confermare l’informazione e discutere con loro della questione, ma non hanno ancora risposto.

Se vi preoccupa il fatto che qualcuno possa spiare il vostro traffico su Instagram, è presto detto: come consiglia Ahmed, cercate di evitare di usare il server dell’app mobile fino a che Facebook non risolva il problema crittografico. L’esperto raccomanda agli utenti di attenersi alla versione Web di Instagram che supporta il protocollo HTTPS completamente.

Consigli