Según los investigadores de la empresa de ciberseguridad Check
Point las versiones de Instagram anteriores a 128.0.0.26.128 tienen una
vulnerabilidad critica en las versiones de Android y iOS. La vulnerabilidad permitiría
a un atacante tomar el control de la cuenta Instagram de la víctima, realizando
acciones sin su consentimiento, como puede ser publicar o eliminar fotos, leer conversaciones
y manipular la información del perfil de la cuenta.
La vulnerabilidad ha sido identificada como CVE-2020-1895 y
afecta el procesador de imágenes que utiliza Instagram para cargar las imágenes
en los perfiles de los usuarios y además realiza el balance entre velocidad y
calidad. Check Point advierte que el atacante con tan solo insertar una imagen
maliciosa en el dispositivo de la víctima ya consigue el objetivo de
infiltrarse en su aplicación.
El atacante manda una
imagen modificada a la víctima vía servicio de mensajería como puede ser WhattsApp
o por correo electrónico. La imagen es guardada en el dispositivo de la víctima
y una vez esta abre la aplicación de Instagram desde su dispositivo móvil, la
carga la cual está inyectada en la imagen se activa automáticamente desencadenando
en la brecha de seguridad, dando acceso completo al atacante. De tal modo que,
el atacante, podría incluso bloquear el acceso a la cuenta de la víctima, esto podría
desencadenar en el robo de identidad o pérdida de datos de la víctima.
Un portavoz de la empresa de Facebook aclaró que la falla de
seguridad fue resuelta y que la empresa Check Point exagera un error el cual
corrigieron rápidamente y por el cual no se vio afectado ningún usuario.