La seguridad se ha convertido en algo imprescindible en Internet: entre gobiernos que nos espían, empresas que quieren hacerse con nuestros datos, atacantes que disfrutarían con una buena base de datos… muchos son los peligros, pero por suerte parece que los servicios en Internet van en camino de solventar los posibles problemas de seguridad que se podrían generar.

Facebook siempre ha sido una de las empresas más criticadas respecto a eso de la seguridad y la privacidad de los usuarios: fotografías que no se borran en realidad, servicios de registro fácilmente explotables por atacantes… y hoy uno de los servicios que compraron por una suma millonaria, Instagram, se une a la lista de la vergüenza: la aplicación para Android no utiliza en ningún momento conexiones seguras, y a Facebook parece importarle poco este hecho.

¿Cuál es el problema de seguridad?

Al parecer, un investigador de seguridad se puso a hacer pruebas con la aplicación de Instagram para Android: se conectó al servicio con su dispositivo y empezó a utilizarlo mientras controlaba todo el tráfico de su Android con WireShark. El propósito era encontrar algún método de romper la supuesta seguridad de la conexión o localizar evidencias de que no estaba cifrada en determinadas partes.

Por desgracia, Mazin Ahmed se encontró con una vulnerabilidad mucho más grave de lo que pensaba: la información no va en ningún momento cifrada, en ninguna parte aparece el uso de HTTPS, por lo que un atacante podría interponerse entre el usuario y el servidor (un ataque Man-In-The-Middle o MITM) para obtener todos esos datos que no van protegidos en ningún momento.

¿Cuales son las consecuencias?

En el supuesto caso de que un atacante interceptara la conexión establecida entre el usuario y los servidores de Instagram, estos son todos los datos a los que podría acceder sólo espiando desde que el usuario inicia sesión en la conocida red social de fotografía:

  • Las fotos que el usuario esta viendo, los comentarios… todos los datos que le llegan de los servidores
  • Las cookies de su sesión, lo cual permitiría al atacante entrar en su sesión con facilidad
  • El usuario e ID de la víctima

Las contraseñas, de momento y sin estar muy convencidos dado que el investigador ni las menciona, parecen estar a salvo de esta quema particular, a falta de que vuelvan a saltar las alarmas al más puro estilo Adobe. Aunque lo que sí que ha probado es a utilizar las cookies interceptadas para acceder a su propia cuenta sin utilizar la contraseña, y lo ha conseguido con éxito (captura de justo este apartado).

Además, merece la pena recordar que nosotros somos los que establecemos los límites de nuestra privacidad en Instagram: un atacante podría interceptar las fotos que estamos viendo, las que estamos subiendo, a quienes seguimos… y de ahí a Internet hay un pequeño paso. En resumen, el atacante accedería a información que se supone privada, lo cual es un fallo que habría que corregir de inmediato.

¿Y qué es lo que piensa Facebook al respecto?

El propio Mazin Admeh se ha puesto en contacto con el equipo de seguridad de Facebook para comentarles este fallo de seguridad, y Facebook parece que opina algo diferente a nosotros:

[…] Facebook ya ha hecho planes de mover todo el sitio de Instagram a HTTPS. Sin embargo, no existe una fecha definitiva para el cambio. En este momento Facebook acepta el riesgo de que partes de Instagram se encuentren en HTTP y no en HTTPS. Consideramos esto como un problema reconocido y estamos trabajando en una solución para el futuro.

En resumen, a Facebook no parece importarle y dicen que harán segura del todo la página en el futuro, pero que ahora no es un problema que les quite demasiado en serio. La seguridad de todos los usuarios de la aplicación en Android se encuentra en riesgo, ¿y de verdad es un problema que tiene que esperar para tener solución?

¿Que puedo hacer para protegerme?

Por el momento, los usuarios podemos hacer poco para protegernos en este sentido: dejar de utilizar la aplicación en Android y utilizar el sitio web de Instagram que sí parece utilizar HTTPS en todas sus secciones, o por lo menos asegurarnos de que nuestras redes son seguras y no están expuestas a un ataque MITM (por ejemplo, no utilizar la aplicación en redes WiFi abiertas). Esto hasta que se actualice este aspecto o anuncien una fecha definitiva.

Mientras, parece que Facebook se lo tomará con calma para aplicar HTTPS a todos los rincones de Instagram para Android. Estaremos pendientes para ver como acaba esto, pero de momento no parece tener muy buena pinta. ¿A quien le robarán primero una fotografía de un Frappuchino tomada en un Starbucks?

Más información | Mazin’s Ahmed Blog

Vía | Reddit > The Hacker News