Detectan vulnerabilidad en Instagram que permitía espiar a usuarios en todo el mundo

Una vulnerabilidad en el tratamiento de imágenes de la red social permite tomar el control de una cuenta de Instagram utilizando una sola imagen y acceder a la ubicación GPS, los contactos y la cámara del teléfono de la víctima, explica Check Point Research.

Esta vulnerabilidad de seguridad permite al atacante poder tomar el control de la cuenta de Instagram de una víctima y realizar acciones sin su consentimiento. El fallo permite leer conversaciones, eliminar o publicar fotos a voluntad y manipular la información del perfil de la cuenta.

De esta forma, se podría incluso llegar a bloquear el acceso a la cuenta a la víctima. Lo que podría derivar en problemas como la suplantación de la identidad o pérdida de datos.

Los investigadores de Check Point señalan que detectaron el fallo de seguridad en Mozjpeg. El procesador de imágenes de código abierto que utiliza Instagram para subir imágenes al perfil del usuario

“Muchos desarrolladores, sea cual sea su tamaño, utilizan proyectos de código abierto en su ‘software’. Hemos encontrado una vulnerabilidad en la manera en que Instagram usa Mozjpeg”, dice el informe.

Para que un atacante tomara control de una cuenta, solo necesitaba que el usuario descargase una imagen maliciosa por medio un correo electrónico, whatsapp o de cualquier otra manera. Luego, al abrir Instagram, se activaría el software. 

Los investigadores de Check Point revelaron los hallazgos de su investigación a Facebook, propietaria de Instagram. La compañía estadounidense actúo rápidamente para solventarlo e informaron que ya está subsanada la vulnerabilidad en Instagram. 

RECOMENDACIONES

Los expertos advierten que este tipo de aplicaciones suelen utilizar ‘software’ de terceros para llevar a cabo tareas comunes como el procesamiento de imágenes y sonido o la conectividad de la red.

Sin embargo, el principal riesgo reside en que el código de terceros suele contener vulnerabilidades que podrían provocar fallas en la aplicación en la que están implementados.

Por ello, recomiendan a los desarrolladores que examinen la biblioteca de códigos de terceros y se aseguren de que su integración se realiza correctamente.

«El código de terceros se utiliza prácticamente en todas las aplicaciones que existen, y es muy fácil pasar por alto las graves amenazas que contiene», indica Yaniv Balmas, jefe de Investigación de Check Point.

Por eso, aconsejan dedicar tiempo a comprobar los permisos de acceso que la aplicación demanda. «El típico mensaje que aparece para conceder permisos a una ‘app’ puede parecer una molestia. Pero en la práctica esta es una de las líneas de defensa más fuertes contra los ciberataques móviles», añade Balmas.