El ataque fue desarrollado por Carlos Reventlov basándose en una vulnerabilidad que encontró dentro de Instagram a mediados de noviembre. Él notificó a Instagram sobre el problema el 11 de noviembre, pero para el martes pasado, aún no ha sido corregido.
La vulnerabilidad se encuentra en la versión 3.1.2 de Instagram de la aplicación, publicada para el iPhone el 23 de octubre. Reventlov encontró que mientras algunas actividades sensibles, como acceder y editar los perfiles, están encriptados cuando se envían a Instagram, otros datos son enviados en simples notas de texto. Se probaron dos ataques en una iPhone 4 con iOS 6, encontrando por primera vez el problema.
“Cuando la víctima inicia Instagram, una cookie de texto es enviada a los servidores de Instagram,” escribe Reventlov. “Una vez que los atacantes se hacen con la cookie es posible armar una solicitud especial HTTP para robar la información y eliminar las fotos.”
La cookie de texto puede ser interceptada utilizando un ataque tipo MitM, siempre y cuando el atacante esté en la misma red de área local que la víctima. Una vez que la cookie es obtenida, el hacker puede borrar, descargar fotos o acceder a las fotos de las otras personas dentro de la red de la víctima.
Secunia, firma de seguridad danesa, verificó los ataques y emitió un llamado de atención.
Reventlov continuó con el estudio del potencial de la vulnerabilidad y encontró que el asunto de la cookie puede también permitir al hacker hacerse con la cuenta de la víctima. Igualmente, el atacante debe estar en la misma red local que la víctima.
El ataque consta de un método conocido como ARP, donde el tráfico web del dispositivo móvil de la víctima es canalizada a través de la computadora del atacante. Reventlov escribió que entonces es posible interceptar la cookie de texto.
Utilizando otra herramienta que modifica los encabezados de los de navegadores durante la transmisión a los servidores de Instagram, es posible acceder como la víctima del ataque y cambiar la dirección de correo, resultando en un compromiso de seguridad.
“He encontrado que muchas aplicaciones del iPhone son vulnerables a este tipo de ataques pero no muchas son tan populares como Instagram,” apuntó Reventlov en un email al Servicio de Noticias de IDG.
No pudieron se encontrados voceros oficiales de Instagram o de ni Facebook el lunes. Reventlov escribió en sus consejos que recibió una respuesta automatizada de Instagra, cuando reportó la falla.