Expertos en ciberseguridad de la compañía Check Point han encontrado en Instagram una vulnerabilidad. Gracias a ella, los ‘hackers’ han tenido vía libre para usar los datos personales de los usuarios a su antojo. El error ya ha sido corregido.
Información personal, todos los números de la lista de contactos, geolocalización… Todo esto y mucho más ha estado al alcance de malhechores a causa de una vulnerabilidad que la compañía Check Point ha encontrado en Instagram.
Para aprovecharse de la brecha que encontraron, los atacantes enviaban primero un archivo malicioso con una imagen a la víctima por correo, WhatsApp o por otra la app. Eso daba acceso al hacker a la cuenta de Instagram de su objetivo.
“Si el usuario guardaba la imagen y, a continuación, abría Instagram, el ‘hacker’ iniciaba el ataque. Consecuentemente, podía gestionar la cuenta de la víctima sin que esta lo supiera y obtener acceso a los contactos del teléfono, a la cámara y a los datos de geolocalización del usuario”, advirtien en Check Point.
Los expertos de la empresa explican que decidieron analizar la seguridad que ofrece Instagram a sus millones de usuarios cuando dieron con el problema. Este reside en el uso que hace la red social de Mozjpeg; una librería de terceros y proyecto de código abierto que usa como descodificador del formato JPEG, es decir, para cargar imágenes a la aplicación.
“Muchos desarrolladores, sea cual sea su tamaño, utilizan proyectos de código abierto en su ‘software’. Hemos encontrado una vulnerabilidad en la manera en que Instagram usa Mozjpeg”, dice la compañía.
Los especialistas que descubrieron el problema se han puesto en contacto con Facebook, propietario de Instagram, y este ya ha reparado el error, explicado como resultado de un desbordamiento del búfer.
El jefe de ciberinvestigación de Check Point, Yaniv Balmas, ha instado a los desarrolladores a analizar a fondo los compresores como Mozjpeg antes de confiar en ellos ya que pueden suponer una grave amenaza y dar lugar a vulnerabilidades como la detectada en este caso.
“El código de terceros se usan en prácticamente todas las aplicaciones que hay, y es muy fácil no darse cuenta de las graves amenazas que se esconden en él. Hoy es Instagram, mañana, ¿quién sabe?”, advierte Balmas.
El experto también se dirigió a los usuarios. Y es que parte de la responsabilidad que implica usar aplicaciones como Instagram y otras tantas recae sobre el propietario del teléfono, quien debería desconfiar antes de dar acceso a cualquiera app a los datos que guarda en su dispositivo.
Fuente: Sputnik
