Información personal, todos los números de la lista de contactos, geolocalización… Todo esto y mucho más ha estado al alcance de malhechores a causa de una vulnerabilidad que la compañía Check Point ha encontrado en Instagram.
Para aprovecharse de la brecha que encontraron, los atacantes enviaban primero un archivo malicioso con una imagen a la víctima por correo, WhatsApp o por otra la app. Eso daba acceso al hacker a la cuenta de Instagram de su objetivo.
Los expertos de la empresa explican que decidieron analizar la seguridad que ofrece Instagram a sus millones de usuarios cuando dieron con el problema. Este reside en el uso que hace la red social de Mozjpeg; una librería de terceros y proyecto de código abierto que usa como descodificador del formato JPEG, es decir, para cargar imágenes a la aplicación.
"Muchos desarrolladores, sea cual sea su tamaño, utilizan proyectos de código abierto en su 'software'. Hemos encontrado una vulnerabilidad en la manera en que Instagram usa Mozjpeg", dice la compañía.
El jefe de ciberinvestigación de Check Point, Yaniv Balmas, ha instado a los desarrolladores a analizar a fondo los compresores como Mozjpeg antes de confiar en ellos ya que pueden suponer una grave amenaza y dar lugar a vulnerabilidades como la detectada en este caso.
"El código de terceros se usan en prácticamente todas las aplicaciones que hay, y es muy fácil no darse cuenta de las graves amenazas que se esconden en él. Hoy es Instagram, mañana, ¿quién sabe?", advierte Balmas.
El experto también se dirigió a los usuarios. Y es que parte de la responsabilidad que implica usar aplicaciones como Instagram y otras tantas recae sobre el propietario del teléfono, quien debería desconfiar antes de dar acceso a cualquiera app a los datos que guarda en su dispositivo.