Instagram: ¡cuidado, este fallo crítico permite ejecutar código malicioso en tu smartphone!
Instagram ha sido víctima de un importante fallo de seguridad. Esta vulnerabilidad, presente en MozJPEG (una herramienta de compresión de código abierto), permite a un atacante ejecutar código malicioso de forma remota en su smartphone, y tomar el control del mismo. También permite espiar sus mensajes;
Lee también: Facebook amenaza con cerrar Facebook e Instagram en Europa
Según un informe transmitido por nuestros hermanos de The Hacker News, los investigadores de seguridad informática de CheckPoint Research han descubierto un fallo de seguridad crítico en Instagram/. Esta vulnerabilidad, de ser explotada, permitiría a un hacker ejecutar código malicioso de forma remota/ en los smartphones de los usuarios, y ello a través de una imagen JPEG infectada./.
Además, este fallo también permite espiar los mensajes privados de las víctimas y borrar las fotos de las cuentas afectadas. Según la información de los investigadores de CheckPoint, esta vulnerabilidad afectaba a todas las versiones de la app de Instagram anteriores a la versión 128.0.0.26.128, lanzada el 10 de febrero de 2020.
«Este fallo convierte el smartphone en una herramienta para espiar a los usuarios seleccionados sin que lo sepan, y permite la manipulación maliciosa de su perfil de Instagram», señalan los expertos de CheckPoint Research. «En cualquiera de los dos casos, el ataque podría conducir a una violación masiva de la privacidad de los usuarios – o dar lugar a riesgos de seguridad aún más graves», continúan.
Lee también: YouTube, Instagram y TikTok: una filtración masiva expone los datos de 235 millones de usuarios
Un fallo en MozJPEG
Este fallo se encuentra obviamente enla integración de MozJPEG, una herramienta de compresión de código abierto que permite reducir la compresión de las imágenes. Para explotar esta vulnerabilidad, el atacante sólo tiene que enviar unaimagen infectada a la víctima a través del correo electrónico, WhatsApp o cualquier otro mensajero instantáneo. Si el destinatario guarda la foto en su smartphone y lanza Instagram, el malware se despliega y aprovecha todos los permisos de Instagram/ (foto, mensajes, vídeo, etc.) para tomar el control del smartphone.
CheckPoint Research notificó a Facebook su descubrimiento hace seis meses. A raíz de esto, Facebook lanzó un parche, pero prefirió no hacer público el caso, el momento en que todos los usuarios pueden actualizar su aplicación/. Por eso esta historia se ha difundido recientemente en los medios de comunicación. La red social confirma que el fallo no fue explotado por grupos de hackers.
Como recordatorio, Instagram fue noticia recientemente por suspender las cuentas de los periodistas de Charlie Hebdo que compartieron las caricaturas de Mahoma.