Vulnerabilidad en Instagram para Android permite secuestrar cuentas

Vulnerabilidad en Instagram para Android permite secuestrar cuentas

El atacante puede obtener datos de autenticación y manipular la cuenta en su totalidad.

El problema más grave de seguridad que una plataforma pudiese tener en la actualidad es no aplicar la encriptacion HTTPS en el envío de datos, ausente en la aplicación más popular para compartir imágenes y videos, adquirida por Facebook en el 2012.

Mazin Ahmed, un investigador de seguridad fue quien se percató de la ausencia de encriptacion en el envío de paquetes desde la aplicación de Instagram para Android. Realizó una sesión casera desde su ordenador, haciendo uso de aplicaciones disponibles gratuitamente, utilizando una técnica de intercepción muy utilizada por los atacantes.

Tan pronto como inicie sesión desde mi teléfono, Wireshark ha capturado la información no encriptada que pasa a través de la conexión HTTP.

Se trata de un problema bastante grave para una red social tan conocida, en la cual millones de usuarios presumen sus fotografías, entre ellas las embarazosas selfies y fotos de sus alimentos. Lo mas preocupante es que el atacante puede obtener datos más valiosos, como las cookies e información relacionada con la autenticación (nombres de usuario e IDs).

El investigador no dudó en comunicar este problema a Facebook para que considere arreglar de inmediato esta vulnerabilidad, aunque la respuesta que recibió fue desalentadora, puesto que no se sabe con certeza desde cuándo utilizan una conexión desprotegida en Instagram para Android. Ellos dicen estar conscientes del riesgo de usar HTTP, y que planean resolverlo en el futuro, sin alguna fecha específica.

Ahmed cree que este fallo pudo haber sido aprovechado por las agencias de inteligencia, lo cual nos deja mucho en qué pensar, sobre el porqué una compañía que encripta la información desde su red social ignoró la vulnerabilidad de HTTP en Instagram. Mientras tanto, el investigador recomienda desinstalar la aplicación y entrar desde la página web, hasta que esté problema sea solucionado.