28 may 2018

Debilidad en el proceso de recuperación de cuentas de Instagram en iOS

Tu Instagram podría estar intervenido y nunca te enterarías...
  • Fecha de reporte: 07/05/2018
  • Fecha de publicación: 21/05/2018
  • Versión de la aplicación: 44.0
  • Sistema Operativo: iOS 11.3.1 (iPhone, iPad)
  • Descripción del problema de seguridad detectado

Descripción

La debilidad hallada por el equipo de AsegurarTe se encuentra en el proceso de recuperación de la cuenta de Instagram, siempre que el mismo se realice desde la aplicación móvil del sistema operativo iOS (iPhone, iPad). El problema detectado consiste en que la utilización del token enviado no fuerza el cambio de contraseña (como sí sucede si el usuario intenta recuperar la cuenta vía Web o desde un dispositivo Android), sino que permite el ingreso de forma directa, desde cualquier dispositivo, sin generar alertas o cerrar las sesiones ya iniciadas.

Es decir, capturado el token de autenticación en el proceso de recuperación de la cuenta de Instagram -que llega vía mail o vía sms-, puede ser utilizado para iniciar sesiones de forma directa desde cualquier dispositivo, y sin ningún tipo de aviso de seguridad para el titular de la cuenta, sobre el inicio de sesiones en otros dispositivos.

Impacto

El impacto de este fallo implica que en la actualidad, cualquier usuario de Instagram podría tener su cuenta “intervenida” o “pinchada”, donde todas sus conversaciones privadas podrían estar siendo accedidas por terceros, sin que el legítimo titular de la cuenta pueda enterarse NUNCA.

Ante un acceso indebido, en Instagram no existen notificaciones de seguridad que avisen al usuario sobre el acceso sospechoso o irregular, ni al correo electrónico ni en la propia aplicación.

Adicionalmente, la falta de registros de sesiones iniciadas en Instagram, implica que hoy no es posible para el usuario saber cuantas sesiones iniciadas existen, ni mucho menos desde que dispositivos o dirección IP se han iniciado, aspecto de seguridad que cualquier usuario si podría saber en Facebook o Whatsapp (servicios del mismo grupo empresario).

Esta falta de registros de seguridad, implica como consecuencia que tampoco es posible que el legítimo usuario opte por cerrar todas sesiones abiertas en la propia cuenta, haciendo que la única opción para asegurarse de que nadie más se encuentra dentro de nuestra cuenta, sea forzando el cambio de contraseña (que cierra todas las sesiones).​

Demostración del ataque de un celular Android Bloqueado

¿Qué deben hacer los usuarios para estar seguros de que no se tiene la cuenta intervenida o pinchada por un tercero?

  • ​Cambiar la contraseña es la única forma que tiene actualmente un usuario de Instagram para asegurarse que ningún extraño que haya accedido de forma ilegítima se encuentre dentro de su cuenta. El cambio de contraseña hace caducar todas las sesiones previamente iniciadas, cerrando de forma instantánea todas las sesiones.
  • Habilitar doble factor de autenticación la cuenta de Instagram de esta forma cada vez que alguien quiera ingresar a nuestra cuenta, además de la contraseña (o el token como en el caso mencionado) también se le solicitará el código de 6 dígitos que llega por SMS al número de celular asociado a la cuenta.
  • Deshabilitar la previsualización de los SMS en las notificaciones de los dispositivos móviles.
  • Colocar contraseña a los dispositivos móviles.
Contenido completo en fuente original AsegurarTE

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!