Un desarrollador acaba de publicar el descubrimiento de un importante fallo de seguridad en Instagram, la popular red social de fotografía móvil. Dicho fallo de seguridad en Instagram permite que un atacante malicioso se haga con el control total de nuestra cuenta y, lo peor de todo, es que de momento no hay nada que podamos hacer por nuestra parte para evitarlo al 100%.

El fallo fue descubierto hace ya tiempo por Nir Goldshlager pero no ha sido hasta ahora que ha decidido publicarlo en Breaksec. Este fallo de seguridad en Instagram permite a un atacante hacerse con el total control de nuestra cuenta aprovechando vulnerabilidades del protocolo OAuth, empleado para la transferencia de datos protegidos entre usuarios y proveedores de servicio a través de aplicaciones, tanto móviles como de escritoro e incluso aplicaciones web.

Según explica en la publicación, la vulnerabilidad del protocolo OAuth puede ser explotada vía Instagram (https://instagram.com/oauth/authorize/) o vía Facebook (https://www.facebook.com/dialog/oauth). La vulnerabilidad está notificada a Facebook, actual propietario de Instagram y suponemos que estarán ya trabajando para arreglarla.

Un atacante que aproveche este fallo de seguridad en Instagram puede tomar el control de nuestra cuenta y comentar en nuestro nombre, subir y borrar fotos, y en general realizar cualquier actividad dentro de la red social. En caso de explotar la segunda opción el atacante tendría también acceso a nuestra lista de amigos de Facebook e incluso publicar en nuestro nombre.

El principal problema radica en que hay muy poco que podamos hacer como usuarios para evitar este tipo de problemas. Nuestras opciones se reducen a extremar las precauciones con el uso de aplicaciones de terceros para evitar poner las cosas fáciles a un atacante malicioso que decidiera explotar el fallo vía aplicación pero eso no elimina el problema si alguien con los conocimientos adecuados decide atacar nuestra cuenta.