Detectada vulnerabilidad en Instagram

 

Descubierta una vulnerabilidad en Instagram que permitiría a un atacante que pudiera acceder al contenido y descargar o eliminar las fotografías sin el permiso de la víctima.

Instagram es un programa gratiuto, disponible para iOS y Android, con el que podemos manipular las fotografías y enviarlas a distintas redes sociales y compartirlas.

Las comunicaciones que realiza son a través de conexiones HTTP y HTTPS, usando una autenticación mediante cookie sin cifrar enviada al servidor cuando se inicia la aplicación. Un ciberdelincuente puede captar esta cookie (con un ataque Man-in-the-Middle) y acceder al servidor haciéndose pasar por el usuario y poder descargar o eliminar el contenido.

Carlos Reventlov ha descubierto este fallo y  se puso en contacto con el desarrollador el 10 de noviembre y obtuvo una respuesta automática. Entonces publicó la vulnerabilidad junto al modo de hacerla práctica.

La última versión de Instagram 3.1.2 para iOS es aun vulnerable, pero podrían haber más versiones afectadas y para otras plataformas. De momento no hay solución oficial..