La seguridad siempre es un tema de interés para quienes navegamos por la red, y cuando se trata de un sitio con millones de usuarios, la importancia del asunto sale a relucir con mayor intensidad. Instagram es quien ahora se encuentra en la mira, por no cuidar sus aplicaciones y la seguridad de las mismas.
El investigador de seguridad Mazin Ahmed y el desarrollador Stevie Graham han encontrado una vulnerabilidad grave en la app de Instagram, tanto en Android como iOS respectivamente. Resulta ser que la aplicación sigue utilizando el protocolo de conexión HTTP, permitiendo que alguien en la misma red a la que estemos conectados pueda robarnos nuestra cuenta.
El primer reporte vino de la mano de Ahmed para la aplicación de Android; en su blog explica cómo encontró la conexión que utiliza la aplicación, además de que también comenta que se puede obtener una cookie de una sesión iniciada y con ella adquirir acceso a la cuenta.
En segunda instancia llegó el reporte de Graham documentado en GitHub (y publicado en Hacker News), donde detalla los pasos a seguir para extraer la cookie de alguien en la misma red que esté utilizando la app de Instagram en iOS, y después usarla para ingresar al sitio web de la red social. El problema aquí es que Graham ya había encontrado la vulnerabilidad hace años y la había publicado también en HN hace 216 días.
Ambos usuarios reportaron el problema a Facebook, sin embargo, ambos recibieron la misma respuesta, en donde se les comenta que la compañía está consiente del problema y aceptan el riesgo de que las conexiones de la aplicación se realicen sobre HTTP y no sobre HTTPS, por lo cual se encuentran trabajando en el asunto.
El co-fundador de Instagram, Mike Krieger, comentó en la publicación de Hacker News que aún se encuentran implementando el protocolo en la app y esperan terminarlo pronto, ya que de hecho Instagram Direct utiliza HTTPS.
I hope @instagram gets around to patching the hole before I get around to releasing this tool… pic.twitter.com/wWCCoA3WS5
— Stevie Graham (@stevegraham) July 28, 2014
Mientras tanto, Graham está a la espera de una respuesta un poco más acertada por parte de Instagram, ya que se encuentra creando un script para explotar la vulnerabilidad y espera que el problema sea resuelto antes de que termine esta herramienta.