Un fallo en el tratamiento de imágenes de Instagram permite espiar a millones de usuarios

Guardar

Silver Apple iphone 6 displaying Instagram application
Silver Apple iphone 6 displaying Instagram application

Un nuevo fallo de seguridad en Instagram permite a los atacantes tomar el control de la cuenta de sus víctimas y realizar acciones sin su consentimiento, tales como leer conversaciones, eliminar o publicar fotos a voluntad y manipular la información del perfil de la cuenta. Incluso podría bloquear el acceso a la cuenta a la víctima, lo que derivaría en problemas como la suplantación de la identidad o pérdida de datos.

Investigadores de Check Point Research, la división de Inteligencia de Amenazas de Check Point® Software Technologies Ltd., han detectado esta vulnerabilidad y también avisan de que, puesto que la app. de Instagram pide amplios permisos de acceso a otras funciones de los smartphones, esta vulnerabilidad podría permitir a un cibercriminal convertir el dispositivo en un medio para espiar a la víctima, ya que podría acceder a los contactos, datos de localización, la cámara y los archivos almacenados en el teléfono.

El procesador de imágenes, origen de la vulnerabilidad

Los investigadores señalan que han detectado el fallo de seguridad en Mozjpeg, el procesador de imágenes de código abierto que utiliza Instagram para subir imágenes al perfil del usuario.

Desde la compañía advierten de los peligros de este tipo de aplicaciones, ya que suelen utilizar software de terceros para llevar a cabo tareas comunes como el procesamiento de imágenes y sonido o la conectividad de la red, entre otras.

Sin embargo, el principal riesgo reside en que el código de terceros a menudo contiene vulnerabilidades que podrían provocar fallos de seguridad en la aplicación en la que están implementados.

En el caso de la vulnerabilidaddetectada por Check Point en Instagram, los expertos señalan que para conseguirsu objetivo el atacante sólo necesitaría una única imagen maliciosa. El ataquese produce en tres pasos:

  1. El cibercriminal envía una imagen infectada a la víctima a través de correo electrónico de la víctima, WhatsApp o a cualquier otra plataforma similar.
  2. La imagen se guarda en el teléfono móvil del usuario de forma automática o manual dependiendo del método de envío, el tipo de teléfono móvil y la configuración.  Una imagen enviada a través de WhatsApp, por ejemplo, se guarda en el teléfono automáticamente de forma predeterminada.
  3. La víctima abre la aplicación de Instagram, y automáticamente se activa la carga maliciosa que desencadena el fallo de seguridad en la aplicación, dando al atacante acceso total al teléfono.

Los investigadores de Check Point han revelado los hallazgos de esta investigación a Facebook, propietaria de Instagram, que rápidamente actuó para solventarlo y han informado de que este fallo ya ha sido subsanado.

Para ello, se lanzó un parche de seguridad para las nuevas versiones de la aplicación Instagram en todas las posibles plataformas.