La versión para Android de la red social de fotografía móvil Instagram, propiedad de Facebook y con más de 200 millones de usuarios, cuenta con un fallo de seguridad que expone algunos de los datos que los usuarios generan mientras usan la app, como sus cookies de navegación, su nombre e, incluso, las fotografías de sus contactos que están mirando.
Así lo afirma el investigador Mazin Ahmed, experto en temas de seguridad, quien ha escrito una entrada en su blog describiendo cómo descubrió esta brecha mientras probaba la aplicación para Android de Instagram.
“Empecé a utilizar la app en mi teléfono y a controlar el tráfico que generaba utilizando WireShark (un analizador de protocolos de navegación que se emplea para detectar problemas de comunicación), para así poder saber si algunos de mis datos sin encriptar se filtraban por la red. Tan pronto como inicié sesión en mi teléfono, WireShark interceptó datos que incluían: las fotos que yo estaba viendo en Instagram, las cookies de mi sesión y mi nombre de usuario e ID”, explica.
Como explican en la OSI, la Oficina de Seguridad del Internauta, dichos problemas se deben a que cierta información de Instagram se transfiere mediante el protocolo no seguro HTTP, donde los datos viajan sin cifrar, en vez del HTTPS. Por eso, dicen desde la OSI, “un atacante podría capturar los datos de la sesión del usuario en las comunicaciones de la app con el dominio i.instagram”.
En cuanto tuvo conocimiento de los hechos, Ahmed se dirigió a Facebook para alertarle de los mismos. Desde la red social, sin embargo, le respondieron que, pese a que planean trasladar todo el sistema de Instagram a HTTPS para que esto deje de suceder, de momento no hay una fecha establecida para hacerlo. “De momento, Facebook acepta los riesgos de que Instagram funcione en parte con HTTP y no solo con HTTPS. Sabemos de esta incidencia y estamos trabajando para solucionarlo en el futuro”, indicaron.
La OSI explica que Facebook ha comunicado que acepta el fallo “no como una vulnerabilidad, sino como un defecto de diseño que corregirá en futuras versiones de la aplicación”.
Así pues, la recomendación de la OSI es la de evitar el uso de Instagram cuando nuestro móvil se encuentre conectado a entornos no seguros, como redes WiFi públicas, y la de utilizar, siempre que sea posible, el sitio web en vez de la aplicación. Ahmed, por su parte, insta también desde su blog a evitar la aplicación móvil de Instagram y acceder a la red social siempre a través de un navegador web.
“Me parece increíble que una compañía como Facebook no tome todas las medidas necesarias para garantizar la seguridad de sus usuarios. Creo que esta brecha podría estar siendo explotada para la vigilancia de los ciudadanos por gobiernos y agencias”, reflexiona.
No es el primer fallo que afecta a Instagram. Ya en mayo de 2013 un experto en seguridad colgó un vídeo en la red en el que explicaba detalladamente cómo había hackeado cuentas de usuario en la aplicación.
Foto cc: Zenspa1
from TICbeat » Seguridad http://ift.tt/1s7Qxqm
