Se descubre un ataque contra una vulnerabilidad en Instagram para iPhone

El pasado viernes un investigador de seguridad publicó que existe una muestra de ataque contra usuarios de iPhone e Instagram, el servicio para compartir fotografías, en los que el hacker puede aprovechar una vulnerabilidad del servicio para tomar el control de la cuenta de la víctima.

El ataque fue desarrollado por Carlo Reventlov aprovechando una vulnerabilidad encontrada dentro de Instagram a mediados de noviembre. El investigador advirtió a Instagram de la existencia de la vulnerabilidad el pasado 11 de noviembre, pero aún no ha sido solucionado.

La vulnerabilidad se encuentra en Instagram 3.1.2, lanzada el 23 de octubre para iPhone. Reventlov descubrió que aunque algunas actividades sensibles, como el logging o la edición del perfil, estrán cifrados cuando se envían a Instagram, otros datos se envían en formato de texto plano. Reventlov probó dos ataques contra un iPhone 5 basado en iOS 6, cuando descubrió el problema.

El investigador explicó en su momento que cuando un usuario inicia la aplicación Instagram, se envía una cookie en texto plano al servidor de la aplicación. Cuando el atacante intercepta esa cookie es capaz de crear una petición HTTP especial para conseguir los datos y eliminar las fotografías.

La cookie en texto plano se puede interceptar utilizando un ataque man-in-the-middle mientras que el hackers esté en la misma red LNA (Local Area Network) de la víctima. Una vez obtenida la cookie, el hacker puede eliminar o descargarse las fotografías, o acceder a las imágenes de otra persona que sea amiga de la víctima. Secunia, una compañía de seguridad danesa, verificó el ataque y lo confirmó a través de un comunicado.

Después de estas primeras investigaciones, Reventlov continuó estudiando el potencial de la vulnerabilidad y ha descubierto que el problema con la cookie también permitiría que un hacker tomara el control  de la cuenta de la víctima. Para ello, el hacker tiene que estar en la misma LAN que la víctima.

La cookie se puede interceptar utilizando un método denominado ARP (Address Resolution Protocol) por el que el tráfico web del dispositivo de la víctima se reconduce a través del ordenador del hackers. Así es posible interceptar la cookie en texto plano.

Después, explica Reventlov, se puede utilizar otra herramienta para modificar la cabecera del navegador durante la transmisión a los servidores de Instagram, cambiando así la dirección de correo electrónico de la víctima y comprometiendo la cuenta.

Silicon Redacción

La redacción de Silicon está compuesta por periodistas y redactores especializados en Tecnologías de la Información y Comunicaciones.

Recent Posts

Los mensajes RCS, otra vía de acceso para ciberataques

Los mensajes RCS ofrecen muchas más posibilidades que los SMS, pero también abren la puerta…

2 días ago

Telefónica Empresas ayudará a Microsoft a expandir los Copilot+ PC por España

Acompañará a las empresas en sus procesos de equipamiento, desde la elección del hardware hasta…

3 días ago

IBM y Esade promueven el uso de la IA en los Consejos de Administración

Juntos, trabajarán en la formación y la actualización de habilidades para que los consejeros impulsen…

3 días ago

ASUS lanza un Mini PC con inteligencia artificial

Este dispositivo incluye entre sus especificaciones procesador Intel Core Ultra (Serie 2) y botón Copilot.

3 días ago

EasyVisa adquiere una participación mayoritaria en OTRS Group

Ya cuenta en su poder con más del 90 % de las acciones del proveedor…

3 días ago

SoftwareOne y Crayon acuerdan fusionarse

Los actuales consejeros delegados, Raphael Erb y Melissa Mulholland, se convertirán en co-CEOs de la…

3 días ago