La aplicación de Instagram para Android permite robar las cuentas de usuario
La seguridad de las redes sociales después del escándalo de espionaje estadounidense ha sido muy criticada y desde entonces es vigilada con lupa por la mayoría de los usuarios. Expertos en seguridad han detectado un fallo de seguridad en la aplicación de Instagram para Android permitiendo que una tercera persona pueda editar el contenido de la cuenta o modificar la contraseña evitando que el propietario pueda acceder.
A pesar de haber hablado de «fallo de seguridad» podría decirse que no es tanto un fallo de seguridad sino un descuido por parte de los responsables de la red social que permiten que la comunicación entre la aplicación móvil y los servidores se realice sin ningún tipo de cifrado.
La red social fotográfica fue adquirida en el año 2012 por Facebook y desde entonces no ha parado de crecer en lo referido a número de usuarios. Si al volumen de usuarios añadimos que el número de estos con dispositivo Android puede ser muy significativo, podría decirse entonces que el descuido por parte de los responsables es muy importante.
Utilización de sesiones HTTP para enviar y recibir datos
Los expertos en seguridad que han descubierto el fallo explican que gracias a Wireshark (un sniffer de tráfico de red) son capaces de capturar todo tipo de datos que la aplicación envía y recibe del servidor, capturando entre otros las imágenes que son visualizadas, las cookies del usuario, el usuario que ha sido introducido y la contraseña o bien los datos que se modifican del perfil. En definitiva, una tercera persona podría ser capaz de capturar todos los datos que el usuario envía y recibe desde su aplicación Instagram para Android.
Ante la importancia del fallo de seguridad, los expertos en seguridad no dudaron en ponerse en contacto con Facebook e informar del problema, obteniendo como respuesta que está preparada una migración de las comunicaciones HTTP a HTTPS, sin embargo, no han detallado una fecha concreta para realizar el cambio.
La utilización de Instagram en redes Wi-Fi públicas no es buena idea, al menos de momento
Como es de imaginar, para poder explotar este descuido por parte de los responsables de la red social habría que estar en la misma red Wi-Fi que el usuario que está utilizando la aplicación de Instagram desde su dispositivo Android. Solo de esta forma y utilizando un sniffer de paquetes de datos sería una persona capaz de robar información que se envía entre la aplicación y el servidor de la red social. Por este motivo y hasta que las comunicaciones no se migren a HTTPS, lo mejor es utilizar la aplicación de la red social para Android con la tarifa de datos.
Fuente | The Hacker News