“Fue encontrado por un español. El fallo consiste en que cualquier persona podía añadirse como “amigo” en la cuenta que quisiese de la red social fotográfica”.
Instagram tiene una vulnerabilidad en las peticiones de amistad que permite a cualquier usuario agregarse como “amigo” en la cuenta que elija de esta red social fotográfica; es decir, hacer que otro usuario se haga su seguidor. También permite, mediante el mismo mecanismo, acceder a las “fotos de las cuentas privadas”. Un investigador español ha demostrado dicha vulneración consiguiendo que Mark Zuckerberg lo siga mediante un “ataque de fuerza bruta”.
Sebastián Guerrero, un investigador español, denunció este fallo en el control de acceso a cuentas de Instagram y lo ha hecho público en su blog. Guerrero ha querido demostrar la excesiva accesibilidad de la red social desafiando el sistema de seguridad y escribiendo un mensaje a Mark Zuckerberg —fundador de Facebook, que adquirió Instagram recientemente— para felicitarlo por la adquisición de Instagram. Para hacerlo tuvo que conseguir añadirse como su amigo.Además de poder “acceder sin restricciones” a cualquier cuenta de Instagram, el usuario también tiene total libertad para visualizar todas y cada una de las fotografías que el propietario de la cuenta a la que se está accediendo ha publicado desde su “Smartphone”. Los álbumes categorizados como “privados” también han sido objeto de vulnerabilidad puesto que, según ha comprobado Guerrero, se puede tener acceso a ellos sin problemas y ver las fotografías que en estos se almacenan.
El descubridor de este “fallo de control” en Instagram explicó en un “post” de su blog: “se ha detectado una Sebastián Guerrero en la lógica utilizada para procesar el proceso de autorización aplicado a las peticiones de amistad”. Esto permite a un usuario malintencionado perpetrar un “ataque de fuerza bruta para añadirse como amigo a cualquier cuenta de la aplicación de Instagram”.
El fallo puede suponer que los usuarios más famosos de la plataforma y “celebrities” comiencen a ser espiados por múltiples curiosos. También permite que muchas personas aumenten de forma artificial su número de seguidores.
Sebastián Guerrero es Ingeniero Informático por la Universidad de Cádiz. Investigador independiente, participa como Malware Researcher con Malware Intelligence, donde realiza tareas de ingeniería inversa a los últimos exploit kits y malwares. Tal y como explican en RootedLabs, donde ha impartido una sesión de formación sobre Android, es miembro activo del grupo de seguridad PainSec donde ha participado en CTFS como DefCON, ruCTF o Codegate y colabora asiduamente con artículos sobre seguridad en Android con Security By Default.
