Vulnerabilidad en Instagram para iOS [sin solución de momento]

| 23 Nov, 2012 | Ciberamenazas | No hay comentarios

Hace solo unos días te hablábamos en este mismo blog sobre la popular aplicación Instagram y su política de privacidad, que examinábamos con lupa para llegar a la conclusión de que, como el resto de plataformas 2.0 más populares, sus desarrolladores hacen todo lo posible para quedarse con toda la información que pueden de sus usuarios y más.

Pero ahora nos enteramos, vía Hispasec, de que a esta circunstancia se le suma una vulnerabilidad descubierta por Carlos Reventlov y que afecta a la popular aplicación para iOS. Esta vulnerabilidad podría permitir a un atacante acceder de forma no autorizada al contenido de la cuenta del usuario y descargar o eliminar las fotos, sin que la víctima sea consciente.

eset españa nod32 antivirus instagram vulnerabilidad

El descubridor de la vulnerabilidad se puso en contacto con la empresa el pasado 10 de noviembre, sin que todavía haya recibido contestación alguna (salvo un email automático de respuesta).

Instagram lleva a cabo sus comunicaciones a través de conexiones HTTP y HTTPS. Para la autenticación del usuario, Instagram utiliza una cookie estándar, que envía sin cifrar al servidor una vez que el usuario ha iniciado sesión en la aplicación Esta cookie se puede interceptar con un ataque Man-in-the-Middle, por ejemplo, en la propia red local y así acceder al servidor utilizando las contraseñas de acceso del propio usuario, dándole desde ese momento al atacante privilegios sobre la cuenta del usuario, de forma que puede borrar fotos, descargarlas, pero también publicar nuevas instantáneas.

Seguramente estarás pensando que quizá tu material no merezca tanto la pena como para ser robado, pero piensa por un momento que eres alguien conocido (un famoso, un político,  etc…). Y que, de repente, alguien empieza a publicar en tu nombre fotos que pudieran llegar a comprometerte… Eso es otra cosa, ¿verdad? Recuerda el revuelo que se armó cuando Cañizares publicó una foto en Twitter de su mujer en el baño (bueno, no, perdón, que no fue él, que fueron sus hijos… o eso dijo).

De momento, y aunque la vulnerabilidad está comunicada, no ha habido ningún movimiento de momento que evidencie que se está trabajando en su solución, aunque se tendrán que poner manos a la obra, ya que su descubridor, al no recibir respuesta, ha publicado la información acerca de la vulnerabilidad junto a una prueba de concepto como demostración, capaz de obtener la cookie y eliminar las fotografías del usuario.

Se ha comprobado que la última versión de Instagram 3.1.2 para iOS es vulnerable, aunque también podrían estar afectadas otras versiones y plataformas.

Yolanda Ruiz Hervás

Related Posts

Sobre el Autor

Josep

Director de Investigación y Concienciación de ESET España. Apasionado de la tecnología, los videojuegos y trabajando en el mundo de la seguridad informática desde 2005. Siempre dispuesto a aprender y a compartir conocimientos para concienciar a los usuarios y así disfrutar de la tecnología de forma segura.

Comentar

Acerca de las cookies en este sitio

Este sitio web utiliza cookies propias y de terceros para mejorar tu experiencia de usuario y obtener información estadística. Para poder seguir navegando pulsa en "Sí, estoy de acuerdo". Podrás retirar este consentimiento en cualquier momento a través de las funciones de tu navegador. Ver nuestra política de cookies..