FALLO DE INSTAGRAM PERMITE ESPIAR A UN MILLÓN DE USUARIOS
Un fallo en el tratamiento de imágenes de Instagram permite tomar el control de una cuenta de esta red social utilizando una sola imagen y acceder a la ubicación GPS, los contactos y la cámara del teléfono de la víctima, como ha descubierto una investigación de Check Point Research.
Investigadores de Check Point han detectado una vulnerabilidad crítica en Instagram, una de las redes sociales más populares con casi mil millones de usuarios en todo el mundo y más de cien millones de fotos compartidas cada día.
Este fallo de seguridad permite al atacante poder tomar el control de la cuenta de Instagram de un usuario y realizar acciones sin su consentimiento, tales como leer conversaciones, eliminar o publicar fotos a voluntad y manipular la información del perfil de la cuenta, como informan en un comunicado.
En concreto, los investigadores de Check Point señalan que han detectado el fallo de seguridad en Mozjpeg, el procesador de imágenes de código abierto que utiliza Instagram para subir imágenes al perfil del usuario y advierten de que el ciberatacante sólo necesitaría una única imagen maliciosa para conseguir su objetivo.
El ataque se produciría mediante el envío de una imagen infectada a la víctima a través de correo electrónico o de un servicio de mensajería como WhatsApp.
La imagen queda guardada en el teléfono móvil y una vez el usuario abre la app de Instagram, automáticamente se activa la carga maliciosa que desencadena el fallo de seguridad, lo que daría al atacante acceso total al teléfono.
De esta forma, y como apuntan desde la compañía, se podría incluso llegar a bloquear el acceso a la cuenta a la víctima, lo que podría derivar en problemas como la suplantación de la identidad o pérdida de datos.
Desde la compañía advierten de que este tipo de aplicaciones suelen utilizar ‘software’ de terceros para llevar a cabo tareas comunes como el procesamiento de imágenes y sonido o la conectividad de la red, sin embargo, el principal riesgo reside en que el código de terceros a menudo contiene vulnerabilidades que podrían provocar fallos de seguridad en la aplicación en la que están implementados.
En este sentido, la compañía de ciberseguridad recomienda a los desarrolladores que examinen las biblioteca de códigos de terceros y se aseguren de que su integración se realiza correctamente.
El fallo ya ha sido subsanado, como informan, y se lanzó un parche de seguridad para las nuevas versiones de la aplicación Instagram en todas las posibles plataformas.