Últimas 15minutos

Fallo crítico de Instagram permitía a atacantes tomar control de cuentas

Investigadores de Check Point compartieron los hallazgos de su investigación con Facebook y el fallo fue subsanado

El ataque se produciría mediante el envío de una imagen infectada a la víctima a través de correo electrónico (StockSnap/Pixabay)

15 minutos. Un fallo en el tratamiento de imágenes de Instagram, que ya fue subsanado, permitía tomar el control de una cuenta de esta red social utilizando una sola imagen y acceder a la ubicación GPS, los contactos y la cámara del teléfono de la víctima.

Investigadores de Check Point Research detectaron esta vulnerabilidad crítica en Instagram. La red social cuenta con casi mil millones de usuarios en todo el mundo y más de cien millones de fotos compartidas cada día.

El fallo de seguridad permitía al atacante tomar el control de la cuenta de Instagram de un usuario y realizar acciones sin su consentimiento, tales como leer conversaciones, eliminar o publicar fotos a voluntad y manipular la información del perfil de la cuenta, como informan en un comunicado.

¿En qué consistía el fallo de seguridad de Instagram?

En concreto, los investigadores de Check Point señalan que detectaron el fallo de seguridad en Mozjpeg. Este es el procesador de imágenes de código abierto que utiliza Instagram para subir imágenes al perfil del usuario. Y advierten que el ciberatacante sólo necesitaba una única imagen maliciosa para conseguir su objetivo.

El ataque podía producirse mediante el envío de una imagen infectada a la víctima a través de correo electrónico o de un servicio como WhatsApp. La imagen queda guardada en el teléfono móvil y una vez el usuario abre la app de Instagram, automáticamente se activa la carga maliciosa que desencadena el fallo de seguridad. Esto podía dar al atacante acceso total al teléfono.

De esta forma, y como apuntan desde la compañía, se podría incluso llegar a bloquear el acceso a la cuenta a la víctima. Esto podía derivar en problemas como la suplantación de la identidad o pérdida de datos.

Recomendaciones

Desde la compañía advierten que este tipo de aplicaciones suele utilizar software de terceros para llevar a cabo tareas comunes como el procesamiento de imágenes y sonido o la conectividad de la red. Sin embargo, el principal riesgo reside en que el código de terceros a menudo contiene vulnerabilidades que podrían provocar fallos de seguridad.

En este sentido, la compañía de ciberseguridad recomienda a los desarrolladores que examinen las biblioteca de códigos de terceros y se aseguren de que su integración se realiza correctamente. "El código de terceros se utiliza prácticamente en todas las aplicaciones que existen, y es muy fácil pasar por alto las graves amenazas que contiene", indica Yaniv Balmas, jefe de Investigación de Check Point.

Permisos de accesos

Además, los investigadores señalan que la aplicación de Instagram también pide amplios permisos de acceso a otras funciones de los smartphones, por lo que esta vulnerabilidad permitiría a un cibercriminal convertir el dispositivo en un medio para espiar a la víctima, ya que podría acceder a los contactos, datos de localización, la cámara y los archivos almacenados en el teléfono.

Por ello, aconsejan dedicar tiempo a comprobar los permisos de acceso que la aplicación demanda. "El típico mensaje que aparece para conceder permisos a una app puede parecer una molestia, pero en la práctica esta es una de las líneas de defensa más fuertes contra los ciberataques móviles", añade Balmas.

Los investigadores de Check Point compartieron los hallazgos de su investigación con Facebook, propietaria de Instagram. El fallo ya fue subsanado. Se lanzó un parche de seguridad para las nuevas versiones de la aplicación Instagram en todas las posibles plataformas.

Ver más