Clicky

Un error de Instagram podría haber dado a los piratas informáticos acceso remoto a tu teléfono

Categoría: Seguridad
Visitas: 1029
Error de Instagram

Convierte el dispositivo en una herramienta para espiar a los usuarios sin su conocimiento

¿Alguna vez te has preguntado cómo los piratas informáticos pueden piratear tu teléfono inteligente de forma remota?

En un informe de hoy los investigadores de Check Point revelaron detalles sobre una vulnerabilidad crítica en la aplicación de Android de Instagram que podría haber permitido a atacantes tomar remotamente el control de un dispositivo objetivo con solo enviar a las víctimas una imagen especialmente diseñada.

 

Lo que es más preocupante es que la falla no solo permite a los atacantes realizar acciones en nombre del usuario dentro de la aplicación de Instagram, incluido espiar los mensajes privados de la víctima e incluso eliminar o publicar fotos de sus cuentas, sino que también ejecuta código arbitrario en el dispositivo.

Según un aviso publicado por Facebook, el problema de seguridad de desbordamiento de pila (registrado como CVE-2020-1895, puntuación CVSS: 7.8) afecta a todas las versiones de la aplicación de Instagram antes de 128.0.0.26.128, que se lanzó el 10 de febrero de este año.

"Esta falla convierte el dispositivo en una herramienta para espiar a los usuarios específicos sin su conocimiento, además de permitir la manipulación maliciosa de su perfil de Instagram", dijo Check Point Research en un análisis publicado hoy.

"En cualquier caso, el ataque podría conducir a una invasión masiva de la privacidad de los usuarios y podría afectar la reputación, o conducir a riesgos de seguridad que son aún más graves".

Después que se informaron los hallazgos a Facebook, la compañía de redes sociales abordó el problema con una actualización de parche lanzada hace seis meses. La divulgación pública se retrasó todo este tiempo para permitir que la mayoría de los usuarios de Instagram actualizaran la aplicación, mitigando así el riesgo que esta vulnerabilidad puede presentar.

Aunque Facebook confirmó que no había señales de que este error fuera explotado a nivel mundial, el desarrollo es otro recordatorio de por qué es esencial mantener las aplicaciones actualizadas y tener en cuenta los permisos que se les otorgan.

Instagram hack

Una vulnerabilidad de desbordamiento de pila

Según Check Point, la vulnerabilidad de corrupción de la memoria permite la ejecución remota de código que, dados los amplios permisos de Instagram para acceder a la cámara, los contactos, el GPS, la biblioteca de fotos y el micrófono de un usuario, podría aprovecharse para realizar cualquier acción maliciosa en el dispositivo infectado.

En cuanto a la falla en sí, se debe a la forma en que Instagram integró MozJPEG, una biblioteca de codificador JPEG de código abierto que tiene como objetivo reducir el ancho de banda y proporcionar una mejor compresión para las imágenes cargadas al servicio, lo que resulta en un desbordamiento de enteros cuando la función vulnerable en cuestión "read_jpg_copy_loop") intenta analizar una imagen maliciosa con dimensiones especialmente diseñadas.

Al hacerlo, un adversario podría obtener el control sobre el tamaño de la memoria asignada a la imagen, la longitud de los datos que se sobrescribirán y, por último, el contenido de la región de memoria desbordada, lo que a su vez le dará al atacante la capacidad de corromper ubicaciones específicas en una pila y desviar la ejecución del código.

La consecuencia de tal vulnerabilidad es que todo lo que un mal actor necesita hacer es enviar una imagen JPEG dañada a una víctima por correo electrónico o WhatsApp. Una vez que el destinatario guarda la imagen en el dispositivo e inicia Instagram, la explotación se lleva a cabo automáticamente, lo que le otorga al atacante el control total sobre la aplicación.

Peor aún, el exploit se puede usar para bloquear la aplicación de Instagram de un usuario y hacerla inaccesible a menos que se elimine y se reinstale nuevamente en el dispositivo.

En todo caso, la vulnerabilidad es indicativa de cómo la incorporación de bibliotecas de terceros en aplicaciones y servicios puede ser un eslabón débil para la seguridad si la integración no se realiza correctamente.

Yaniv Balmas, jefe de investigación cibernética de Check Point, proporcionó los siguientes consejos de seguridad para los usuarios de teléfonos inteligentes:

• ¡Actualizar! ¡Actualizar! ¡Actualizar! Asegúrese de actualizar periódicamente su aplicación móvil y sus sistemas operativos móviles. Cada semana se envían docenas de parches de seguridad críticos en estas actualizaciones, y cada uno puede tener un severo impacto en su privacidad.

• Supervisar los permisos. Preste más atención a las aplicaciones que solicitan permiso. Es fácil para los desarrolladores de aplicaciones pedir a los usuarios permisos excesivos, y también es muy fácil para los usuarios hacer clic en 'Permitir' sin pensarlo dos veces.

• Piense dos veces en los permisos. Tómate unos segundos para pensar antes de aprobar algo. Pregunte: "¿Realmente quiero darle a esta aplicación este tipo de acceso? ¿Realmente lo necesito?" si la respuesta es no, NO APROBAR.