Se descubre un ataque contra una vulnerabilidad en Instagram para iPhone

El pasado viernes un investigador de seguridad publicó que existe una muestra de ataque contra usuarios de iPhone e Instagram, el servicio para compartir fotografías, en los que el hacker puede aprovechar una vulnerabilidad del servicio para tomar el control de la cuenta de la víctima.

El ataque fue desarrollado por Carlo Reventlov aprovechando una vulnerabilidad encontrada dentro de Instagram a mediados de noviembre. El investigador advirtió a Instagram de la existencia de la vulnerabilidad el pasado 11 de noviembre, pero aún no ha sido solucionado.

La vulnerabilidad se encuentra en Instagram 3.1.2, lanzada el 23 de octubre para iPhone. Reventlov descubrió que aunque algunas actividades sensibles, como el logging o la edición del perfil, estrán cifrados cuando se envían a Instagram, otros datos se envían en formato de texto plano. Reventlov probó dos ataques contra un iPhone 5 basado en iOS 6, cuando descubrió el problema.

El investigador explicó en su momento que cuando un usuario inicia la aplicación Instagram, se envía una cookie en texto plano al servidor de la aplicación. Cuando el atacante intercepta esa cookie es capaz de crear una petición HTTP especial para conseguir los datos y eliminar las fotografías.

La cookie en texto plano se puede interceptar utilizando un ataque man-in-the-middle mientras que el hackers esté en la misma red LNA (Local Area Network) de la víctima. Una vez obtenida la cookie, el hacker puede eliminar o descargarse las fotografías, o acceder a las imágenes de otra persona que sea amiga de la víctima. Secunia, una compañía de seguridad danesa, verificó el ataque y lo confirmó a través de un comunicado.

Después de estas primeras investigaciones, Reventlov continuó estudiando el potencial de la vulnerabilidad y ha descubierto que el problema con la cookie también permitiría que un hacker tomara el control  de la cuenta de la víctima. Para ello, el hacker tiene que estar en la misma LAN que la víctima.

La cookie se puede interceptar utilizando un método denominado ARP (Address Resolution Protocol) por el que el tráfico web del dispositivo de la víctima se reconduce a través del ordenador del hackers. Así es posible interceptar la cookie en texto plano.

Después, explica Reventlov, se puede utilizar otra herramienta para modificar la cabecera del navegador durante la transmisión a los servidores de Instagram, cambiando así la dirección de correo electrónico de la víctima y comprometiendo la cuenta.