Imagen: Check Point – 2020
Investigadores de Check Point Research, la división de Inteligencia de
Amenazas de Check Point® Software Technologies Ltd., han detectado una
vulnerabilidad crítica en Instagram, una de las redes sociales más populares
con casi 1.000 millones de usuarios en todo el mundo y más de 100 millones de
fotos compartidas cada día. Este fallo de seguridad permite al atacante poder
tomar el control de la cuenta de Instagram de una víctima y realizar acciones
sin su consentimiento, tales como leer conversaciones, eliminar o publicar
fotos a voluntad y manipular la información del perfil de la cuenta. De esta
forma, se podría incluso llegar a bloquear el acceso a la cuenta a la víctima,
lo que podría derivar en problemas como la suplantación de la identidad o
pérdida de datos.
Por otro lado, es importante destacar que la aplicación de Instagram
también pide amplios permisos de acceso a otras funciones de los smartphones,
por lo que esta vulnerabilidad permitiría a un cibercriminal convertir el
dispositivo en un medio para espiar a la víctima, ya que podría acceder a los
contactos, datos de localización, la cámara y los archivos almacenados en el
teléfono.
¿Cómo funciona esta vulnerabilidad?
Los investigadores de Check Point señalan que han detectado el fallo de
seguridad en Mozjpeg, el procesador de imágenes de código abierto que utiliza
Instagram para subir imágenes al perfil del usuario. Desde la compañía
advierten de los peligros de este tipo de aplicaciones, ya que suelen utilizar
software de terceros para llevar a cabo tareas comunes como el procesamiento de
imágenes y sonido o la conectividad de la red, entre otras. Sin embargo, el
principal riesgo reside en que el código de terceros a menudo contiene
vulnerabilidades que podrían provocar fallos de seguridad en la aplicación en
la que están implementados.
En el caso de la vulnerabilidad detectada por Check Point en Instagram,
los expertos señalan que para conseguir su objetivo el atacante sólo
necesitaría una única imagen maliciosa. El ataque se produce en tres pasos:
1. El cibercriminal envía una imagen infectada a la víctima a través de
correo electrónico de la víctima, WhatsApp o a cualquier otra plataforma
similar.
2. La imagen se guarda en el teléfono móvil del usuario de forma
automática o manual dependiendo del método de envío, el tipo de teléfono móvil
y la configuración. Una imagen enviada a través de WhatsApp, por ejemplo, se
guarda en el teléfono automáticamente de forma predeterminada.
3. La víctima abre la aplicación
de Instagram, y automáticamente se activa la carga maliciosa que desencadena el
fallo de seguridad en la aplicación, dando al atacante acceso total al
teléfono.
"Tras esta investigación, hay dos grandes aspectos a destacar.
Primero, las bibliotecas de códigos de terceros pueden ser una seria amenaza, y
por ello recomendamos a los desarrolladores de aplicaciones de software que las
examinen y se aseguren de que su integración se realiza correctamente. El
código de terceros se utiliza prácticamente en todas las aplicaciones que
existen, y es muy fácil pasar por alto las graves amenazas que contiene",
destaca Yaniv Balmas, Jefe de Investigación de Check Point. "En segundo
lugar, es necesario dedicar tiempo a comprobar los permisos de acceso que la
aplicación demanda. El típico mensaje que aparece para conceder premisos a una
app puede parecer una molestia, pero en la práctica esta es una de las líneas
de defensa más fuertes contra los ciberataques móviles, por lo que es
fundamental recapacitar y pensar detenidamente si se debe autorizar a la
aplicación a tener acceso a la cámara, el micrófono, etc.”, añade Balmas.
¿Cómo protegerse frente a esta vulnerabilidad?
Los investigadores de Check Point han revelado los hallazgos de su
investigación a Facebook, propietaria de Instagram, que rápidamente actuó para
solventarlo y han informado de que este fallo ya ha sido subsanado. Para ello,
se lanzó un parche de seguridad para las nuevas versiones de la aplicación
Instagram en todas las posibles plataformas. No obstante, los expertos de Check
Point ofrecen claves en términos de ciberseguridad para estar protegidos frente
a estos fallos de seguridad:
1. Actualizar el software: es
imprescindible actualizar regularmente las aplicaciones móviles y los sistemas
operativos. Docenas de parches de seguridad se envían en estas actualizaciones
semanalmente y, de no instalarlos, podría tener un impacto severo en la
privacidad del usuario.
2. Supervisar los permisos:
prestar más atención a las aplicaciones que piden permisos. Es muy cómodo para
los desarrolladores de aplicaciones pedir a los usuarios permisos excesivos, y
es muy práctico para los usuarios hacer clic en “sí” sin leer.
3. Permitir acceso sin
pensarlo dos veces: es importante pensar unos segundos antes de aprobar algo.
Si no es algo necesario para el funcionamiento de la aplicación, lo mejor es no
autorizar el acceso.
0 Comentarios