Usar Instagram con Wi-fi publico arriesga a secuestro de cuenta

Un problema de configuración en la popular aplicación de Facebook para dispositivos Apple podría permitir a un hacker secuestrar la cuenta de un usuario si ambos se encuentran en la misma red Wi-Fi pública.

Stevie Graham escribió en Twitter que Facebook no le pagará recompensa por reportar la vulnerabilidad que encontró hace algunos años.

Graham dijo que espera atraer más atención hacia el problema escribiendo una herramienta que pueda rápidamente comprometer las cuentas de Instagram. Llamó a su herramienta Instasheep, como la extensión para Firefox Firesheep, que puede comprometer cuentas en línea bajo ciertas circunstancias.

“Creo que este ataque es extremadamente severo porque puede permitir un secuestro completo de la cuenta y es fácilmente automatizable”, de acuerdo con las declaraciones de Graham “Podría ir a una Apple Store mañana y obtener cientos de cuentas en un día y después utilizarlas para lanzar spam”.

El descubrimiento de Graham es un problema de configuración bien conocido que muchas compañías han enfrentado al cifrar completamente todas las conexiones que se realizan a sus servidores. La transición a un cifrado completo firmado por un https al inicio de la URL y el símbolo del candado puede ser desafiante a nivel técnico.

La API (Application Programming Interface) de Instagram realiza peticiones no cifradas a algunas partes de su red, escribió Graham. Esto da oportunidad a un hacker que está en la misma red pública sin cifrado o que utiliza el obsoleto WEP.

Algunas de esas llamadas a la API de Instagram pueden transmitir una cookie de sesión sin cifrar o un archivo que permita a Instagram saber que el usuario sigue conectado, recolectando este tráfico de red, la cookie de sesión puede ser robada y utilizada por el atacante para obtener acceso no autorizado a la cuenta de la víctima.

Facebook no ha respondido, pero el cofundador de Instagram Mike Krieger escribió en The Hacker News que Instagram está firmemente incrementando el uso del cifrado completo.

“El servicio Instagram permite que las fotos sean compartidas con pequeños grupos de gente y se encuentra completamente cifrado. Para servicios con mayor sensibilidad a la latencia, como el servicio principal de Instagram, nos estamos asegurando de que la transición a https no afecte el rendimiento.[…] Este es un proyecto que esperamos completar pronto, compartiremos nuestras experiencias en nuestro blog para que otras compañías aprendan de esto también”, afirmó Krieger.

Google ofreció cifrado completo como una opción para Gmail en 2008, pero dos años después lo hicieron por defecto, Facebook realizó el cambio por defecto en enero de 2011.

Ver mas informacion en Fuente : http://www.seguridad.unam.mx/noticia/?noti=1833

saludos

ms, 30-7-2014