被Facebook拒绝支付赏金后，白帽子编写大规模攻击工具

　　前两天，国外媒体报道了最流行的图像和视频分享服务Instagram手机应用的重大安全问题，攻击者可以劫持用户帐户，可以获得私人照片，删除受害者的照片，编辑评论，或者发布新照片。

　　昨天，在伦敦开发者史蒂夫·格雷厄姆(Stevie Graham)发布了一款名为“Instasheep”的工具，这个名字来自2010年一款叫做“Firesheep”的Firefox拓展，它可以用来窃取Facebook等社交网站的账号信息，该插件能在用于对与攻击者同处一个网络下的会话劫持。

　　格雷厄姆几年前发现了Instagram的问题，他吃惊地发现Facebook也没有修复该问题。他声称Facebook拒绝为这个影响iOS应用的漏洞向他支付赏金，而后他发布了该工具。

　　格雷厄姆在其推特上说：“我被拒绝支付赏金。那么我的下一步是编写能够大规模劫持账号的自动化工具”他写道，“这是个相当严重的漏洞，请Facebook修复。”

　　有报道称社交网络巨头Facebook已知晓有关Instagram iOS应用的问题，并正在努力修复，Facebook打算使用HTTPS协议，但仍不清楚要花多久修复漏洞。

　　漏洞可能使iOS应用的用户受到中间人（MITM）攻击，因为Instagram会发送一些含有会话cookie的未加密数据。然后，攻击者可以在其他系统上/浏览器上利用这些截获的HTTP会话cookie劫持受害者的Instagram帐户。

　　“我不认为这个漏洞的使用障碍很高。只需要足够水平的技术人员就能够利用，漏洞利用相当简单，甚至是脚本小子也可以使用。此刻潘多拉的盒子已经被炸得四分五裂！”格雷厄姆在YCombinator写道。

　　Instagram联合创始人Mike Krieger（迈克·克里格）已经通过相同的YCombinator网站回应了这个问题，并表示，“我们一直在稳步增加对于HTTPS协议的支持，例如我们在2013年底推出的Instagram Direct，全部使用HTTPS进行会话。对于应用程序，尤其是对于延迟敏感的main feed功能和其它重要的浏览体验，我们正在积极努力推出了HTTPS，同时要确保不会损失性能，稳定性和用户体验。这是我们希望能够尽快完成的一个项目，我们将在开发博客上分享我们的经验，以便让其他公司借鉴一下。”