Descubren una vulnerabilidad crítica en Instagram

Recomendados:  La persistencia del ransomware Webinar Amenazas a las empresas en España durante la pandemia Leer

La división de Inteligencia de Amenazas de Check Point ha detectado una vulnerabilidad crítica en Instagram, una de las redes sociales más populares con casi 1.000 millones de usuarios en todo el mundo y más de 100 millones de fotos compartidas cada día. Este fallo permite al atacante poder tomar el control de la cuenta de Instagram de una víctima y realizar acciones sin su consentimiento, como leer conversaciones, eliminar o publicar fotos a voluntad y manipular la información del perfil de la cuenta. “Se podría incluso llegar a bloquear el acceso a la cuenta a la víctima, lo que podría derivar en problemas como la suplantación de la identidad o pérdida de datos”, explican sus investigadores.

Por otro lado, destacan que la aplicación de Instagram también pide amplios permisos de acceso a otras funciones de los smartphones, por lo que esta vulnerabilidad permitiría a un cibercriminal convertir el dispositivo en un medio para espiar a la víctima, ya que podría acceder a los contactos, datos de localización, la cámara y los archivos almacenados en el teléfono.

Los expertos de la firma explican que han detectado el fallo de seguridad en Mozjpeg, el procesador de imágenes de código abierto que utiliza Instagram para subir imágenes al perfil del usuario. En el caso de la vulnerabilidad detectada en Instagram, Check Point subraya que para conseguir su objetivo el atacante sólo necesitaría una única imagen maliciosa. El ataque se produce en tres pasos:

-- El cibercriminal envía una imagen infectada a la víctima a través de correo electrónico de la víctima, WhatsApp o a cualquier otra plataforma similar.
-- La imagen se guarda en el teléfono móvil del usuario de forma automática o manual dependiendo del método de envío, el tipo de teléfono móvil y la configuración.  Una imagen enviada a través de WhatsApp, por ejemplo, se guarda en el teléfono automáticamente de forma predeterminada.
-- La víctima abre la aplicación de Instagram, y automáticamente se activa la carga maliciosa que desencadena el fallo de seguridad en la aplicación, dando al atacante acceso total al teléfono.

Yaniv Balmas, Jefe de Investigación de Check Point, destaca que “las bibliotecas de códigos de terceros pueden ser una seria amenaza, y por ello recomendamos a los desarrolladores de aplicaciones de software que las examinen y se aseguren de que su integración se realiza correctamente. El código de terceros se utiliza prácticamente en todas las aplicaciones que existen, y es muy fácil pasar por alto las graves amenazas que contiene" y, además, recuerda a los usuarios que es necesario dedicar tiempo a comprobar los permisos de acceso que la aplicación demanda.

Consejos de protección
Los investigadores de Check Point han revelado los hallazgos de su investigación a Facebook, propietaria de Instagram, que rápidamente actuó para solventarlo y han informado de que este fallo ya ha sido subsanado. Para ello, se lanzó un parche de seguridad para las nuevas versiones de la aplicación Instagram en todas las posibles plataformas.

De forma general, la compañía de seguridad ofrece los siguientes consejos para estar protegidos frente a estos fallos de seguridad:

- Actualizar el software: es imprescindible actualizar regularmente las aplicaciones móviles y los sistemas operativos. Docenas de parches de seguridad se envían en estas actualizaciones semanalmente y, de no instalarlos, podría tener un impacto severo en la privacidad del usuario.

- Supervisar los permisos: prestar más atención a las aplicaciones que piden permisos. Es muy cómodo para los desarrolladores de aplicaciones pedir a los usuarios permisos excesivos, y es muy práctico para los usuarios hacer clic en “sí” sin leer.

- Permitir acceso sin pensarlo dos veces: es importante pensar unos segundos antes de aprobar algo. Si no es algo necesario para el funcionamiento de la aplicación, lo mejor es no autorizar el acceso.