El atacante puede obtener datos de autenticación y
manipular la cuenta en su totalidad.
l problema más grave de seguridad que una plataforma
pudiese tener en la actualidad es no aplicar la encriptacion HTTPS en el envío
de datos, ausente en la aplicación más popular para compartir imágenes y
videos, adquirida por Facebook en el 2012.
Mazin Ahmed, un investigador de seguridad fue quien se
percató de la ausencia de encriptacion en el envío de paquetes desde la
aplicación de Instagram para Android. Realizó una sesión casera desde su
ordenador, haciendo uso de aplicaciones disponibles gratuitamente, utilizando
una técnica de intercepción muy utilizada por los atacantes.
Tan pronto como inicie sesión desde mi teléfono,
Wireshark ha capturado la información no encriptada que pasa a través de la
conexión HTTP.
Se trata de un problema bastante grave para una red
social tan conocida, en la cual millones de usuarios presumen sus fotografías,
entre ellas las embarazosas selfies y fotos de sus alimentos. Lo mas
preocupante es que el atacante puede obtener datos más valiosos, como las
cookies e información relacionada con la autenticación (nombres de usuario e
IDs).
El investigador no dudó en comunicar este problema a
Facebook para que considere arreglar de inmediato esta vulnerabilidad, aunque
la respuesta que recibió fue desalentadora, puesto que no se sabe con certeza
desde cuándo utilizan una conexión desprotegida en Instagram para Android.
Ellos dicen estar conscientes del riesgo de usar HTTP, y que planean resolverlo
en el futuro, sin alguna fecha específica.
Ahmed cree que este fallo pudo haber sido aprovechado
por las agencias de inteligencia, lo cual nos deja mucho en qué pensar, sobre
el porqué una compañía que encripta la información desde su red social ignoró
la vulnerabilidad de HTTP en Instagram. Mientras tanto, el investigador
recomienda desinstalar la aplicación y entrar desde la página web, hasta que
esté problema sea solucionado.
Fuente: Wayerless.com