Die Instagram-App wird von Facebook nur teilweise verschüsselt

Facebook verschlüsselt die Instagram-App nicht komplett – ein Risiko für die Sicherheit und Privatsphäre der Anwender

instagram

Facebook verschlüsselt bestimmte Daten, die bei seinem Foto-Dienst Instagram ankommen und verschickt werden, nicht. Und auch wenn das Unternehmen sagt, dass eine vollständige Verschlüsselung in den Dienst integriert werden soll, so wurde bisher dennoch kein Datum genannt, wann das passieren wird. Wenn Sie die Instagram-App auf Ihrem mobilen Gerät nutzen, kann ein Angreifer die von Ihnen angesehen Bilder ebenfalls sehen, Session-Cookies abgreifen und Ihren Nutzernamen sowie Ihre ID feststellen.

Facebook akzeptiert derzeit das Risiko, dass Instagram per HTTP, und nicht per HTTPS, kommuniziert.

Mazen Ahmed, Sicherheitsspezialist bei Defensive-Sec, hat am Samstag in seinem persönlichen Blog über die löchrige Verschlüsselung von Instagram geschrieben. Er hat die Android-Version der Instagram-App mit einem Packet-Sniffing-Tool namens WireShark getestet. WireShark kann den Datenverkehr auf einem Netzwerk beobachten, auf das es Zugriff hat, egal ob man es in sein Heimnetzwerk steckt oder jemand die Daten auf einem öffentlichen Netzwerk beobachtet. Wenn die Daten verschlüsselt sind, ist es nicht möglich, die Datenpakete auszulesen. Sind die Daten allerdings nicht verschlüsselt, können sie über WireShark mitgelesen werden.

Ahmed stellt fest, dass Instagram nur Teile des Datenverkehrs der App verschlüsselte.

In einem Interview mit Kaspersky Daily merkte Ahmed an, dass er den Versuch mit der Instagram-App für Android durchgeführt hat. Er glaubt allerdings, dass die gleiche Attacke auch mit der iOS-App funktionieren würde, da beide den gleichen Server nutzen, der anscheinend nicht einheitlich SSL einsetzt.

In seinem Blog-Beitrag schreibt Ahmed weiter, dass er Facebook bereits kontaktiert hat, und das Unternehmen – laut Ahmed – die unvollständige Verschlüsselung der Instagram-App zugegeben habe: „Facebook ist das Problem bewusst und das Unternehmen plant, alle Teile von Instagram auf HTTPS umzustellen. Allerdings gibt es kein definitives Datum für die Umstellung. Facebook akzeptiert derzeit das Risiko, dass Instagram per HTTP, und nicht per HTTPS, kommuniziert. Wir sehen es als bekanntes Problem und arbeiten an einer Lösung für die Zukunft.“ Wir haben Facebook um eine Bestätigung dieser Aussage gebeten, allerdings noch keine Antwort erhalten.

Falls Sie sich um Ihre Instagram-Kommunikation sorgen, sollten Sie laut Ahmed am besten die App des Dienstes nicht mehr nutzen, bevor Facebook die Verschlüsselung nicht absolut ernst nimmt. Ahmed empfiehlt, nur die Web-Version von Instagram zu verwenden, die HTTPS besser unterstützt.

Tipps