Publicado enSoftware

Un fallo de seguridad en Instagram permite acceder a cualquier cuenta

Nir Goldshlager ha descubierto un nuevo fallo de seguridad en el protocolo OAuth de Instagram que permitiría a cualquier atacante hacerse con el control de cualquier cuenta. De momento, la única manera para estar a salvo es eliminar nuestra cuenta. Esperemos que solucionen esta vulnerabilidad lo antes posible.
por Asier García Plaza
Instagram

Instagram es una de las redes de fotografía móvil más utilizadas y mejor valoradas del mundo. A finales de febrero, logró llegar a los 100 millones de usuarios activos al mes. Asimismo, esto explica la gran suma de dinero que pagó Mark Zuckerberg para comprarla. Desde su adquisición, la platorma ha sufrido bastantes altibajos relacionados con los cambios en los términos de servicio. No obstante, según informa Break Security, se ha descubierto de nuevo un gran fallo de seguridad en Instagram. De esta forma, mediante el protocolo OAuth, cualquier persona podría tener acceso a nuestra cuenta sin permiso alguno.

Hoy en día, los mayores problemas de seguridad del software están relacionados con la privacidad y la confidencialidad de nuestros datos. Colgamos alegremente un sinfín de contenido público y privado en la Red. Sin embargo, la mayoría de las veces no nos suele preocupar hasta que punto está segura nuestra información. De hecho, si ésta está alojada en servicios reconocidos tendemos a pensar que es inviable perderla, cosa que es mentira.

Asimismo, no todas las plataformas son perfectas. Esta vez, Nir Goldshlager ha explicado cómo ha utilizado una vulnerabilidad en OAuth, protocolo que permite la autenticación sin necesidad de introducir nuestro usuario y contraseña, para hacerse con el control total de una cuenta. Es decir, ha conseguido tener acceso a las fotos privadas, ha podido borrar fotos y editar comentarios además de subir más fotos. Del mismo modo, ha declarado que ha descubierto dos métodos diferentes para llevar a cabo el ataque. El primero consiste en explotar un fallo del protocolo OAuth de Instagram mientras que el segundo se basa en robar la sesión a través del protocolo OAuth de la red social Facebook.

De momento, la red social no ha proporcionado ninguna solución así que la mejor manera para asegurarse que nadie toma el control de nuestra cuenta es eliminarla. ¿Una medida drástica? Pues sí. Personalmente, espero que solucionen este gran fallo de seguridad en Instagram cuanto antes. Además, hay que destacar que no es la primera vez que este joven investigador reporta fallos de seguridad graves en la plataforma.

Recibe cada mañana nuestra newsletter. Una guía para entender lo que importa en relación con la tecnología, la ciencia y la cultura digital.

Procesando...
¡Listo! Ya estás suscrito

También en Hipertextual:

Publicado enSeguridad, Software

Descubierto un grave fallo de seguridad en Instagram

por José María Velo

Imagen: Viadeo

Un desarrollador acaba de publicar el descubrimiento de un importante fallo de seguridad en Instagram, la popular red social de fotografía móvil. Dicho fallo de seguridad en Instagram permite que un atacante malicioso se haga con el control total de nuestra cuenta y, lo peor de todo, es que de momento no hay nada que podamos hacer por nuestra parte para evitarlo al 100%.

El fallo fue descubierto hace ya tiempo por Nir Goldshlager pero no ha sido hasta ahora que ha decidido publicarlo en Breaksec. Este fallo de seguridad en Instagram permite a un atacante hacerse con el total control de nuestra cuenta aprovechando vulnerabilidades del protocolo OAuth, empleado para la transferencia de datos protegidos entre usuarios y proveedores de servicio a través de aplicaciones, tanto móviles como de escritoro e incluso aplicaciones web.

Según explica en la publicación, la vulnerabilidad del protocolo OAuth puede ser explotada vía Instagram (https://instagram.com/oauth/authorize/) o vía Facebook (https://www.facebook.com/dialog/oauth). La vulnerabilidad está notificada a Facebook, actual propietario de Instagram y suponemos que estarán ya trabajando para arreglarla.

Un atacante que aproveche este fallo de seguridad en Instagram puede tomar el control de nuestra cuenta y comentar en nuestro nombre, subir y borrar fotos, y en general realizar cualquier actividad dentro de la red social. En caso de explotar la segunda opción el atacante tendría también acceso a nuestra lista de amigos de Facebook e incluso publicar en nuestro nombre.

El principal problema radica en que hay muy poco que podamos hacer como usuarios para evitar este tipo de problemas. Nuestras opciones se reducen a extremar las precauciones con el uso de aplicaciones de terceros para evitar poner las cosas fáciles a un atacante malicioso que decidiera explotar el fallo vía aplicación pero eso no elimina el problema si alguien con los conocimientos adecuados decide atacar nuestra cuenta.

Recibe cada mañana nuestra newsletter. Una guía para entender lo que importa en relación con la tecnología, la ciencia y la cultura digital.

Procesando...
¡Listo! Ya estás suscrito

También en Hipertextual: