Se descubre un ataque contra una vulnerabilidad en Instagram para iPhone

El pasado viernes un investigador de seguridad publicó que existe una muestra de ataque contra usuarios de iPhone e Instagram, el servicio para compartir fotografías, en los que el hacker puede aprovechar una vulnerabilidad del servicio para tomar el control de la cuenta de la víctima.

El ataque fue desarrollado por Carlo Reventlov aprovechando una vulnerabilidad encontrada dentro de Instagram a mediados de noviembre. El investigador advirtió a Instagram de la existencia de la vulnerabilidad el pasado 11 de noviembre, pero aún no ha sido solucionado.

La vulnerabilidad se encuentra en Instagram 3.1.2, lanzada el 23 de octubre para iPhone. Reventlov descubrió que aunque algunas actividades sensibles, como el logging o la edición del perfil, estrán cifrados cuando se envían a Instagram, otros datos se envían en formato de texto plano. Reventlov probó dos ataques contra un iPhone 5 basado en iOS 6, cuando descubrió el problema.

El investigador explicó en su momento que cuando un usuario inicia la aplicación Instagram, se envía una cookie en texto plano al servidor de la aplicación. Cuando el atacante intercepta esa cookie es capaz de crear una petición HTTP especial para conseguir los datos y eliminar las fotografías.

La cookie en texto plano se puede interceptar utilizando un ataque man-in-the-middle mientras que el hackers esté en la misma red LNA (Local Area Network) de la víctima. Una vez obtenida la cookie, el hacker puede eliminar o descargarse las fotografías, o acceder a las imágenes de otra persona que sea amiga de la víctima. Secunia, una compañía de seguridad danesa, verificó el ataque y lo confirmó a través de un comunicado.

Después de estas primeras investigaciones, Reventlov continuó estudiando el potencial de la vulnerabilidad y ha descubierto que el problema con la cookie también permitiría que un hacker tomara el control  de la cuenta de la víctima. Para ello, el hacker tiene que estar en la misma LAN que la víctima.

La cookie se puede interceptar utilizando un método denominado ARP (Address Resolution Protocol) por el que el tráfico web del dispositivo de la víctima se reconduce a través del ordenador del hackers. Así es posible interceptar la cookie en texto plano.

Después, explica Reventlov, se puede utilizar otra herramienta para modificar la cabecera del navegador durante la transmisión a los servidores de Instagram, cambiando así la dirección de correo electrónico de la víctima y comprometiendo la cuenta.

Silicon Redacción

La redacción de Silicon está compuesta por periodistas y redactores especializados en Tecnologías de la Información y Comunicaciones.

Recent Posts

Bitdefender lanza un programa de garantía contra violaciones de seguridad

Ofrece hasta 1 millón de dólares de compensación económica en caso de incidente, con la…

11 horas ago

Cloud Expo evoluciona a Cloud & AI Infrastructure

Este cambio refleja los avances que se producen a nivel de infraestructura TI y el…

12 horas ago

DES2025 se centrará en la IA y ofrecerá una zona de experiencia tecnológica

El evento espera reunir a 17.000 directivos, que podrán escuchar a medio centenar expertos en…

12 horas ago

Snowflake llega a un acuerdo con Datavolo para su adquisición

Como resultado de esta operación, ampliará sus servicios en el "bronze layer" del ciclo de…

13 horas ago

NetApp aumenta un 6 % sus ingresos trimestrales

Durante el segundo trimestre de su año fiscal 2025 acumuló 1.660 millones de dólares, la…

14 horas ago

Denodo Platorm 9.1 estrena asistente de inteligencia artificial

También incluye un SDK open source para potencia el desarrollo de aplicaciones y agentes, especialmente…

14 horas ago