El secuestro ocurriría al sesionar en Instagram usando dispositivos Apple en redes WiFi.
Steve Graham ha reportado en Twitter que existe una vulnerabilidad en las sesiones de la popular aplicación Instagram realizadas en dispositivos Apple en redes WiFi que podría permitir el secuestro de la cuenta del usuario por ciberdelincuentes.
Instagram es una aplicación popular para compartir fotos en línea. En 2012 fue adquirida por Facebook.
El problema en Instagram se encuentra en que utiliza llamadas API a puntos finales que no usan HTTPS con cokies de sesión en las cabeceras de petición. Esto puede dar a lugar a que un ciberdelincuente que se encuentre en la misma red WiFi robe la cookie de sesión y utilizarla para tener el control de la cuenta del usuario. La sesión completa sería secuestrada por el ciberdelincuente.
El no uso de cifrado (HTTPS) en sesiones en linea ha sido un problema para las compañías de Internet, principalmente para aquellas que proporcionan servicios de correo electrónico, mensajería, red social, entre otros, y proteger los datos recopilados, las sesiones de los usuarios y las conexiones a sus servidores. En un principio HTTPS era utilizado para compras comerciales y operaciones bancarias y financieras; ahora muchas compañías de Internet están utilizando el cifrado vía HTTPS.
Graham, desarrollador de aplicaciones y que se ha definido como “hacker en general”, radicado en Londres, ha divulgado el fallo tras saber que Facebook no le pagará la recompensa por haberlo descubierto, al parecer desde hace dos años.
Graham reproduce los pasos utilizados en Mac OS X al descubrir la vulnerabilidad, indicando que además pudo desplazarse a un perfil de usuario y verse conectado como ese usuario. Considera grave la vulnerabilidad porque permite el secuestro de la sesión completa y además puede ser fácilmente automatizado. “Podría ir a la tienda de Apple mañana y cosechar miles de cuentas en un día y luego usarlas para enviar spam”, ejemplificó, indicando que el siguiente paso es desarrollar la herramienta a la que ha bautizado como Instasheep, émula de la extensión Firesheep para Firefox que podía comprometer cuentas en línea.