Las aplicaciones móviles de alguno de los servicios online más utilizados hoy en día resultan realmente prácticas puesto que casi siempre llevamos nuestro smartphone encima. De esta forma podemos actualizar nuestro estado en Facebook, Twitter o subir nuevas fotos a nuestra cuenta de Instagram allá donde estemos siempre que contemos con una conexión a Internet.
No obstante, estas aplicaciones móviles no siempre disponen de todas las características de seguridad con las que cuentan los servicios originales a través de un navegador web tradicional. Como ejemplo, hoy nos hacemos eco de una vulnerabilidad en la aplicación de Instagram para dispositivos Android que podría permitir a un atacante acceder a nuestra cuenta, visualizar y modificar las fotografías que almacenemos, además de poder editar los comentarios.
Esta vulnerabilidad ha sido descubierta por el investigador Mazin Ahmed, revelando que parte de las comunicaciones realizadas entre la aplicación y los servidores de Instagram se realiza a través del protocolo HTTP, en lugar de HTTPS como debería ser. Entre los datos que se envían a través de este protocolo inseguro encontramos las fotos que el usuario está visualizando en ese momento, sus cookies de sesión, su usuario y su ID.
Solamente usando las cookies de sesión enviadas a través de la aplicación el investigador afirma haber conseguido iniciar sesión sin problema en su ordenador de sobremesa. Esto significa que si nos conectamos a una red Wi-Fi insegura y utilizamos esta aplicación, un atacante podría secuestrar nuestra sesión de inicio y autenticarse como si fuéramos nosotros mismos en nuestra cuenta de Instagram.
La respuesta de Facebook ante este descubrimiento tras ser contactados por el investigador ha sido que son conscientes de los riesgos de utilizar comunicaciones por HTTP en lugar de HTTPS y que están trabajando para tener una solución en el futuro. Esta respuesta tampoco es que sea muy tranquilizadora así que el uso de la aplicación móvil de Instagram para Android estaría desaconsejado en redes Wi-Fi que no sean de confianza.
De momento y hasta que se soluciones este fallo, recomendamos seguir las indicaciones del investigador y utilizar únicamente la versión web de Instagram que sí que cuenta con las medidas de seguridad adecuadas y todas las comunicaciones se producen de forma cifrada.