Una de las aplicaciones para dispositivos móviles con iOS o Android que más éxito ha cosechado entre los usuarios es Instagram. Esta aplicación permite aplicar filtros a las fotografías que realicemos, dándoles un aire retro, para luego compartirlas en multitud de redes sociales. Ha sido tal su éxito que Facebook no dudó en desembolsar recientemente más de mil millones de dólares para adquirirla.
Pero al igual que sucede con otras aplicaciones que son utilizadas por millones de usuarios, como WhatsApp, muchas veces nos fijamos solo en su usabilidad y nos olvidamos de la seguridad o de problemas en nuestra privacidad al usarlas.
Precisamente, un fallo en la el manejo de privacidad ha sido el que ha descubierto el investigador español Sebastián Guerrero. Sebastían ha publicado en su blog como detectó una falta de control a la hora de aceptar peticiones de amistad, permitiendo a cualquier usuario añadirse como amigo a cualquier cuenta de Instagram.
Con esto, además de entrar a formar parte del selecto grupo de personas a los que sigue alguna celebridad, es posible acceder a aquellas imágenes que ha realizado un determinado usuario, así como a su información personal. Esta vulnerabilidad afecta incluso a álbumes privados, pudiendo tener acceso a los mismos y ver las fotografías que en ellos se almacenan.
En el post que Sebastián ha publicado se pueden ver todos los detalles sobre como funciona esta vulnerabilidad e incluso el investigador muestra un ejemplo en el que se añade como amigo de Mark Zuckerberg (fundador de Facebook) e incluso le envía una felicitación por la adquisición de Instagram.
(Imagen obtenida de http://blog.seguesec.com/)
Como vemos, esta vulnerabilidad puede dar mucho que hablar si no se soluciona pronto, ya que los perfiles de los famosos pueden llenarse de curiosos que deseen averiguar que fotos privadas esconden en su cuenta de Instagram.
Mientras esperamos que se solucione esta vulnerabilidad, recomendamos a los usuarios de esta aplicación que usen el sentido común y no almacenen ninguna foto comprometida o privada usando esta aplicación puesto que, explotando la vulnerabilidad, cualquiera podría tener acceso a la misma.
Josep Albors