Vulnerabilidad en Instagram permitiría secuestrar cuentas: ESET

Falla en Instagram vulneró seguridad

Falla en Instagram vulneró seguridad

La vulnerabilidad en Instagram hubiese permitido a un atacante secuestrara de manera remota cualquier cuenta sin necesidad de interacción por parte de los propietarios de las mismas.

Instagram, el servicio de Facebook para compartir fotos, corrigió recientemente una vulnerabilidad crítica que podría haber permitido a los piratas informáticos comprometer cualquier cuenta de Instagram sin requerir la interacción de los usuarios seleccionados.

Según detallan portales especializados, la recuperación de contraseñas de Instagram se vulneró en la última falla, y la más sensible fue la versión móvil. La misma ya fue reparado por la red social. En este sentido, un usuario de Instagram que se olvide de su contraseña y decida resetearla deberá demostrar su identidad confirmando la recepción de un código de seis dígitos que le llegará a través de un mensaje SMS al número telefónico asociado. Laxman logró secuestrar una cuenta de Instagram al enviar 200.000 combinaciones de códigos diferentes y utilizando una gran cantidad de IP diferentes. Este código, que expira pasados los 10 minutos, deberá ser ingresado por el usuario para poder cambiar su contraseña.

Algunas vulnerabilidades han sido parcheadas recientemente, algunos todavía están en proceso de ser reparadas, y muchas otras probablemente existen, pero no se han encontrado. Si bien el sistema permite un número máximo de intentos, este límite de tiempo puede evadirse mediante solicitudes de fuerza bruta desde diferentes direcciones IP y aprovechándose también de lo que se conoce como condición de carrera (en inglés race hazard o race condition).

Según el investigador, aunque pueda sonar complicado, probar 5.000 direcciones IP es algo sencillo, que se puede realizar fácilmente si se cuenta con un proveedor de servicios en la nube como Amazon o Google. Además, Instagram cuenta con una protección que limita la velocidad a la que se introducen las combinaciones para evitar hackeos.

Sin descubrir la vulnerabilidad, el investigador hizo el reporte con Facebook y finalmente luego de probar el exploit, Facebook recompensó a Muthiyah con un cheque de 30.000 dólares. Lo peor de todo, es que Instagram no bloqueaba los accesos fallidos, con lo que un programa de fuerza bruta podría estar introduciendo en milésimas de segundos miles de combinaciones de dígitos hasta entrar y nunca ser bloqueado con los intentos.