Smartphone usando Instagram.

Smartphone usando Instagram. @georgiadelotz Unsplash

Software

Un error de Instagram permitía espiar a usuarios al enviar una imagen

Un nuevo error de Instagram permitía espiar a millones de usuarios con tan solo enviar una imagen. El fallo reside en el tratamiento de las imágenes de la red social.

25 septiembre, 2020 12:19

Noticias relacionadas

Se ha descubierto un nuevo error de Instagram capaz de permitir a atacantes tomar el control de una cuenta usando una sola imagen y acceder a datos sensibles como el GPS, los contactos y la cámara del teléfono de la víctima. 

Así lo ha descubierto la firma de seguridad Check Point Research. Los investigadores han detectado una vulnerabilidad crítica en Instagram, una de las redes sociales más importantes del mundo con más de mil millones de usuarios en todo el mundo.

Este fallo de seguridad permite a hackers tomar el control de la cuenta de un usuario de Instagram. Una vez hecho esto, el atacante puede leer conversaciones, publicar fotos o eliminarlas y manipular la información del perfil de la cuenta, como informa Check Point.

Así es el nuevo error de Instagram

Instagram espía.

Instagram espía. Manuel Fernández Omicrono

El fallo, según señalan los investigadores de Check Point está en Mozjpeg, el procesador de imágenes de código abierto que usa Instagram para subir imágenes a los perfiles de usuario. El ciberatacante solo necesitaría una única imagen maliciosa para realizar todo el ataque.

El ataque se produciría mediante el envío de una imagen infectada a la víctima a través de un correo electrónico o de apps de mensajería como WhatsApp. La imagen se guarda en el teléfono móvil y una vez la víctima abre Instagram, automáticamente se carga la imagen desencadenando el fallo de seguridad.

Además de todos los problemas ya mencionados, el atacante podría provocar incluso el bloqueo de la cuenta de la víctima, lo que podría provocar problemas de seguridad serios como la pérdida de datos o la suplantación de identidad.

Un riesgo para la privacidad

Logo de Instagram en un móvil.

Logo de Instagram en un móvil. @neonbrand en Unsplash Omicrono

El problema reside en que el código de terceros que usan estas aplicaciones para procesar las imágenes a menudo contiene vulnerabilidades. Estas son las que los hackers aprovechan para realizar ataques. Por ende, Check Point recomienda a los desarrolladores que comprueben la biblioteca de códigos de terceros y se aseguren que no existen este tipo de fallos.

Desde Check Point recomiendan a los usuarios que comprueben los permisos de acceso que apps como Instagram requieren. Dada la alta cantidad de permisos que la app de la red social exige, es muy sencillo controlar el dispositivo de la víctima si el atacante se hace con su control. Yaniv Balmas, jefe de investigación de Check Point, lo explica así:

"El típico mensaje que aparece para conceder permisos a una app puede parecer una molestia, pero en la práctica esta es una de las líneas de defensa más fuertes contra los ciberataques móviles".

Anteriormente ya había habido problemas de privacidad en Instagram. Se acusó a la red social de espiar a sus usuarios y Facebook alegó que esto era un bug causado en su aplicación.

El fallo ya ha sido solucionado después de que los investigadores de Check Point compartieran sus hallazgos con Facebook, propietaria de Instagram. Ya se ha lanzado un parche de seguridad para las nuevas versiones de la aplicación. Si usas Instagram, es muy recomendable que actualices la app ahora mismo.