Se descubre un ataque contra una vulnerabilidad en Instagram para iPhone

El pasado viernes un investigador de seguridad publicó que existe una muestra de ataque contra usuarios de iPhone e Instagram, el servicio para compartir fotografías, en los que el hacker puede aprovechar una vulnerabilidad del servicio para tomar el control de la cuenta de la víctima.

El ataque fue desarrollado por Carlo Reventlov aprovechando una vulnerabilidad encontrada dentro de Instagram a mediados de noviembre. El investigador advirtió a Instagram de la existencia de la vulnerabilidad el pasado 11 de noviembre, pero aún no ha sido solucionado.

La vulnerabilidad se encuentra en Instagram 3.1.2, lanzada el 23 de octubre para iPhone. Reventlov descubrió que aunque algunas actividades sensibles, como el logging o la edición del perfil, estrán cifrados cuando se envían a Instagram, otros datos se envían en formato de texto plano. Reventlov probó dos ataques contra un iPhone 5 basado en iOS 6, cuando descubrió el problema.

El investigador explicó en su momento que cuando un usuario inicia la aplicación Instagram, se envía una cookie en texto plano al servidor de la aplicación. Cuando el atacante intercepta esa cookie es capaz de crear una petición HTTP especial para conseguir los datos y eliminar las fotografías.

La cookie en texto plano se puede interceptar utilizando un ataque man-in-the-middle mientras que el hackers esté en la misma red LNA (Local Area Network) de la víctima. Una vez obtenida la cookie, el hacker puede eliminar o descargarse las fotografías, o acceder a las imágenes de otra persona que sea amiga de la víctima. Secunia, una compañía de seguridad danesa, verificó el ataque y lo confirmó a través de un comunicado.

Después de estas primeras investigaciones, Reventlov continuó estudiando el potencial de la vulnerabilidad y ha descubierto que el problema con la cookie también permitiría que un hacker tomara el control  de la cuenta de la víctima. Para ello, el hacker tiene que estar en la misma LAN que la víctima.

La cookie se puede interceptar utilizando un método denominado ARP (Address Resolution Protocol) por el que el tráfico web del dispositivo de la víctima se reconduce a través del ordenador del hackers. Así es posible interceptar la cookie en texto plano.

Después, explica Reventlov, se puede utilizar otra herramienta para modificar la cabecera del navegador durante la transmisión a los servidores de Instagram, cambiando así la dirección de correo electrónico de la víctima y comprometiendo la cuenta.

ITespresso Redacción

La redacción de ITespresso está compuesta por periodistas especializados en Tecnologías de la Información y Comunicaciones.

Recent Posts

Google paga 5.000 millones de dólares para resolver una demanda colectiva

Los usuarios denunciaban que la compañía los había rastreado incluso cuando usaban el modo privado…

11 meses ago

Las pymes valencianas pueden optar a ayudas de 5,5 millones de euros por proyectos de I+D

El Instituto Valenciano de Competitividad Empresarial financiará aquellas iniciativas que puedan solucionar incertidumbres científicas o…

11 meses ago

La guerra entre Israel y Gaza no acobarda a los inversores extranjeros de startups

Solo en el cuarto trimestre las empresas emergentes del país han levantado 1.500 millones de…

11 meses ago

Navarra ya cuenta con más de 80 startups

La región tiene 13 scaleups y destaca por sus empresas emergentes de salud y agrotech.

11 meses ago

Las startups valencianas progresaron adecuadamente en 2023

Valencia ha atraído en el primer semestre del año 30 millones de euros de inversión…

11 meses ago

El New York Times acusa a Open AI y Microsoft de infringir sus derechos de autor

El diario estadounidense demanda a las dos compañías tecnológicas por haber usado sus contenidos para…

11 meses ago