- 1 vista
Investigadores de Check Point, una importante empresa especializada en ciberseguridad, detectaron una vulnerabilidad crítica en Instagram, una de las redes sociales más populares, con casi 1.000 millones de usuarios en todo el mundo y más de 100 millones de fotos compartidas cada día.
Según explican, este fallo de seguridad permite al atacante tomar el control de la cuenta de Instagram de una víctima y realizar acciones sin su consentimiento, tales como leer conversaciones, eliminar o publicar fotos a voluntad y manipular la información del perfil de la cuenta.
Además, señalan que, de esta forma, se podría incluso llegar a bloquear el acceso a la cuenta a la víctima, lo que, explican, podría derivar en problemas como la suplantación de la identidad o pérdida de datos.
"Es importante destacar que la aplicación de Instagram también pide amplios permisos de acceso a otras funciones de los smartphones, por lo que esta vulnerabilidad permitiría a un cibercriminal convertir el dispositivo en un medio para espiar a la víctima, ya que podría acceder a los contactos, datos de localización, la cámara y los archivos almacenados en el teléfono", dicen desde Check Point.
De acuerdo con lo hallado por los investigadores, el fallo de seguridad se encuentra en Mozjpeg, el procesador de imágenes de código abierto que utiliza Instagram para subir imágenes al perfil del usuario.
En ese sentido, desde la compañía advierten de los peligros de este tipo de aplicaciones, ya que suelen utilizar software de terceros para llevar a cabo tareas comunes como el procesamiento de imágenes y sonido o la conectividad de la red, entre otras.
Sin embargo, el principal riesgo reside en que el código de terceros a menudo contiene vulnerabilidades que podrían provocar fallos de seguridad en la aplicación en la que están implementados.
En este fallo de seguridad, explican los expertos, para conseguir su objetivo el atacante sólo necesitaría una única imagen maliciosa. Y solo se necesitan de tres pasos para conseguirlo.
Lo primero que hace el cibercriminal envía una imagen infectada a la víctima a través de correo electrónico de la víctima, WhatsApp o a cualquier otra plataforma similar.
Luego, esta imagen se guarda en el celular del usuario de forma automática o manual dependiendo del método de envío.
Por último, la víctima abre la aplicación de Instagram, y automáticamente se activa la carga maliciosa que desencadena el fallo de seguridad en la aplicación, dando al atacante acceso total al teléfono.
"Tras esta investigación, hay dos grandes aspectos a destacar. Primero, las bibliotecas de códigos de terceros pueden ser una seria amenaza, y por ello recomendamos a los desarrolladores de aplicaciones de software que las examinen y se aseguren de que su integración se realiza correctamente. El código de terceros se utiliza prácticamente en todas las aplicaciones que existen, y es muy fácil pasar por alto las graves amenazas que contiene", destaca Yaniv Balmas, Jefe de Investigación de Check Point.
Además agregó que "es necesario dedicar tiempo a comprobar los permisos de acceso que la aplicación demanda. El típico mensaje que aparece para conceder premisos a una app puede parecer una molestia, pero en la práctica esta es una de las líneas de defensa más fuertes contra los ciberataques móviles, por lo que es fundamental recapacitar y pensar detenidamente si se debe autorizar a la aplicación a tener acceso a la cámara, el micrófono, etc.”.
Aunque explican que Facebook ya está al tanto de este fallo y presentó un parche para solucionarlo, también dicen que es importante ser cuidadoso con las autorizaciones que se les da a las aplicaciones.
