Introducción
[Extraído de la Wikipedia]
Instagram es una aplicación gratuita para compartir fotos con la que los usuarios pueden aplicar efectos fotográficos como filtros, marcos y colores retro y vintage y compartir las fotografías en diferentes redes sociales como Facebook, Twitter,Tumblr y Flickr. Una característica distintiva de la aplicación es que da una forma cuadrada y redondeada en las puntas a las fotografías en honor a la Kodak Instamatic y las cámaras Polaroid.
La aplicación fue diseñada para iPhone y a su vez está disponible para sus hermanos iPad y iPod con el sistema iOS 3.0.2 o superior pudiéndose descargar desde el App Store y desde su página web.
Vulnerabilidad
Se ha detectado una falta de control en la lógica utilizada para procesar el proceso de autorización aplicado a las peticiones de amistad. Permitiendo a un usuario malintencionado perpetrar un ataque de fuerza bruta para añadirse como amigo a cualquier cuenta de la aplicación de Instagram.
Siendo posible acceder a las imagénes tomadas por los usuarios de la aplicación y a la información publicada en su perfil. Así mismo, se ha comprobado que esta vulnerabilidad afecta también a aquellos usuarios cuyo álbum es privado, permitiendo tener acceso a las fotografías almacenadas en él.
Explotación
Cuando se accede al perfil de un usuario, la petición generada por la aplicación al servidor es la siguiente:
GET http://instagram.com/api/v1/users/USER_ID/info/ HTTP/1.1
Donde se pasa como parámetro distintivo el USER_ID y a partir de ahí se van generando las llamadas a la api. En el caso de la vulnerabilidad, para llegar a explotarla se decidió generar una petición de amistad legítima.
El aspecto que presenta la aplicación cuando esto sucede es el siguiente:
La petición para aceptar la petición de amistad es la siguiente:
POST http://instagram.com/api/v1/friendships/approve/USER_ID/ HTTP/1.1
Y además de la cookie con información sobre la sesión del usuario identificado en la aplicación, se envía el siguiente parámetro
signed_body=d3e7a3eda18825318482b0f5866c7bbaba4fe...........%7B%22user_id%22%3A%22USER_ID%22%7D
Dándole un vistazo, parece ser algún tipo de hash generado que otorga validez a la petición de amistad realizada por el usuario cuyo USER_ID también es enviado en la propia petición.
Por otro lado la petición de rechazar amistad, presenta el siguiente aspecto:
POST http://instagram.com/api/v1/friendships/ignore/182383487/ HTTP/1.1
...
signed_body=d3e7a3eda18825318482b0f5866c7bbaba4fe........%7B%22user_id%22%3A%22USER_ID%22%7D
Únicamente cambia la llamada a la API que se realiza, utilizando el método de ignore en lugar de approve.
Teniendo en cuenta esto, la primera prueba que se realizó fue ver si era posible realizar enumeración de usuarios y obtener aquellos datos publicados en su perfil.
Permitió obtener la siguiente información:
- Un campo status, supongo que con información relevante hacia el estado de la cuenta.
- Un array de nombre user, que a su vez posee los siguientes campos: {username – media_count – following_count – profile_pic_url – biography – full_name – follower_count – pk -is_private – external_url} (todos bastante descriptivos por su nombre).
Sabiendo la posibilidad de realizar esta enumeración de usuarios (que resulta ser una feature de la API) el siguiente paso fue hacer la prueba de si el hash generado para la petición de amistad legítima, podría ser utilizada para engañar al servidor y obligar a que todos los usuarios de la aplicación, automáticamente sin su conocimiento, fueran agregados como seguidores de nuestro perfil.
El resultado generado fue el siguiente:
Donde se puede apreciar que nuestro vector de ataque ha tenido éxito, y la petición devuelta por el servidor está compuesta por los siguientes parámetros:
- Un campo status, supongo que con información relevante hacia el estado de la amistad.
- Un array de nombre friendship_status, que a su vez posee los siguientes campos: {incoming_request – followed_by – outgoing_request – following – blocking – is_private} (todos bastante descriptivos por su nombre).
El resultado antes y después de hacer las pruebas:
¿Cuál puede ser el alcance de este fallo? Basta con darnos un paseo por el twitter de celebridades de Hollywood, famosos, presidentes del gobierno, etc. Acceder a su perfil de Instagram, obtener su ID de usuario y automáticamente explotar esta vulnerabilidad.
Independientemente de que su perfil sea privado, obtendremos acceso a sus fotos. Un ejemplo de esto:
Y como somos buenas personas y estamos de buen rollo. Vamos a felicitarle por la nueva adquisición.
Pingback: Instagram vulnerability can allow strangers access to photos and more | ESET ThreatBlog
Pingback: Vulnerabilidad en Instagram (Friendship Vulnerability) « Infosec « Hacking « xora.org
Pingback: Insta-Friends? Spanish Hacker Finds Big Instagram Privacy Hole | Xconomy
Pingback: Possible Instagram security vulnerability reportedly revealed, forcing a follow from any user | Daily Easy News
Pingback: Instagram出現漏洞: 強制令任何人成為跟隨follower | Appappapps.com Blog
Pingback: Instagram vulnerability: Anyone can add you, see your photos
Pingback: Possible Instagram security vulnerability reportedly revealed; update: Instagram says bug fixed, no private data made public | Meslema
Pingback: Instagram-bug liet je andere gebruikers ongevraagd terugvolgen - iPhoneclub.nl
Pingback: Instagram vulnerability can allow strangers access to your photos and more « esetireland
Pingback: Experto español detecta un grave fallo de seguridad en Instagram
Pingback: Instagram出現漏洞: 強制令任何人成為跟隨follower | 香港開發者網
Pingback: Instagram vulnerability can allow strangers access to your photos and more
Pingback: Privatne fotke (pre)lako prestaju biti privatne | Croportal Magazin
Pingback: Vulnerabilidad en Instagram (Friendship Vulnerability)
Pingback: Instagram corrige un bug sur les demandes d’amis Montserrat Agence de Communication
Pingback: Instagram : Une faille expose les comptes et photos privées - WebLife
Pingback: Privacy and Trust
Pingback: Instagram Addresses “Friendship Vulnerability” | CISSP 2 CISSP
Pingback: Instagram corrige un bug sur les demandes d’amis - The World Information
Pingback: TECH : Technology News, Updates & Reviews « Buy and Sell Philippines
Pingback: Instagram, la vilaine faille de sécurité est corrigée !
Pingback: Fout in Instagram liet je automatisch terugvolgen - iPhone 4s - iPhoned.nl
Pingback: ste williams » Instagram bug ‘exposed’ hipsters’ private photos to strangers
Pingback: [Réseaux Sociaux] Il profite d'un bug pour devenir l'ami de Mark Zuckerberg - iGoldHouse - Le blogiGoldHouse – Le blog
Pingback: Instagram : une faille permet d’accéder aux photos privées | I-TechNews
Pingback: Instagram vulnerability: Anyone can see your photos, add you
Pingback: Bug no Instagram revela fotos marcadas como privadas - macmais - http://macmais.com.br/
Pingback: Rob’s Radar 7/12 | Robert Croak
Pingback: Vulnerability in Instagram App Found | | Gregory Allen DeeseGregory Allen Deese
Pingback: Un español descubre una grave vulnerabilidad en Instagram « Francisco Unica
Pingback: Un español descubre una vulnerabilidad en Instagram que compromete la privacidad » tecnoic.com
Pingback: Un español descubre una grave vulnerabilidad en Instagram | Noticias de actualidad
Pingback: Anónimo
Pingback: Un español descubre una grave vulnerabilidad en Instagram :: Noticias España
Hola Sebastian,, me gustaria escribir algo sobre el tema en mi blog http://www.instagramers.com podrías escribirme a igers@instagramers.com ?
Pingback: A spanish guy finds a Follower vulnerability in Instagram Api | Instagramers.com
Pingback: Instagram bug ‘exposed’ hipsters’ private photos to strangers : Privacy Gene
Pingback: elKisin | Vulnerabilidad en Instagram
Pingback: Descubren una grave vulnerabilidad en Instagram | EnHacke
Pingback: Instagram presenta un fallo de privacidad con las peticiones de amistad. | Su Tecnologia al Alcance de Todos.
Pingback: Biztonsági rést találtak az Instagramban - Etikus Hacker - Etikus Hacker
Pingback: Instagram Allegedly Downplays Security Vulnerability
Pingback: Instagram corrige un bug sur les demandes d’amis | Depannage pc informatique
Pingback: vulnerabilidad de seguridad instagram
Pingback: Instagram corrige un bug sur les demandes d’amis | TEAM =OVET=
Pingback: ROMSCENTRO - Un español descubre una grave vulnerabilidad en Instagram
Pingback: Un español descubre una grave vulnerabilidad en Instagram. » vodootec.com
Pingback: Une faille de sécurité découverte sur Instagram | Votre site internet à prix canon
Pingback: Descubren una grave vulnerabilidad en Instagram | Innovar.org
Pingback: Un español descubre una grave fallo de seguridad en Instagram | Lucía Sendón Lago | DAculturayocio.com
Seguro que te has encontrado algunas fotos entretenidas …
Felicidades por el descubrimiento crack! Espero que Mark se acuerde de ti con algunas cañas o alguna otra recompensa
Pingback: Une faille dans instagram | pakdekro.org
Pingback: Un español encuentra un grave fallo de seguridad en Instagram | Adolfo y sus noticias diversas
Pingback: إغلاق ثغرة في تطبيق Instagram كانت تُمكن من الوصول إلى صور الحسابات المحمية من دون موافقة أصحابها | المجلة التقنية
Pingback: Un español hace público un fallo de seguridad en Instagram | Actualidad iPhone
Pingback: Un español hace público un fallo de seguridad en Instagram | Binary Apple
Hola. Que software utilizas para que te devuelva los resultados generados? Muchas gracias por la info.
Pingback: Un español hace público un fallo de seguridad en Instagram | GCtoday
Pingback: Un español hace público un fallo de seguridad en Instagram
Pingback: Un español hace público un fallo de seguridad en Instagram | Jobbr es
Pingback: Une faille de sécurité découverte sur Instagram | loKaliz.me
Pingback: Des données et photos privées révélées par la faille de sécurité d'Instagram - Zone Numerique