Vulnerabilidad en Instagram (Friendship Vulnerability)

Introducción

[Extraído de la Wikipedia]

Instagram es una aplicación gratuita para compartir fotos con la que los usuarios pueden aplicar efectos fotográficos como filtros, marcos y colores retro y vintage y compartir las fotografías en diferentes redes sociales como Facebook, Twitter,Tumblr y Flickr. Una característica distintiva de la aplicación es que da una forma cuadrada y redondeada en las puntas a las fotografías en honor a la Kodak Instamatic y las cámaras Polaroid.

La aplicación fue diseñada para iPhone y a su vez está disponible para sus hermanos iPad y iPod con el sistema iOS 3.0.2 o superior pudiéndose descargar desde el App Store y desde su página web.

Vulnerabilidad

Se ha detectado una falta de control en la lógica utilizada para procesar el proceso de autorización aplicado a las peticiones de amistad. Permitiendo a un usuario malintencionado perpetrar un ataque de fuerza bruta para añadirse como amigo a cualquier cuenta de la aplicación de Instagram.

Siendo posible acceder a las imagénes tomadas por los usuarios de la aplicación y a la información publicada en su perfil. Así mismo, se ha comprobado que esta vulnerabilidad afecta también a aquellos usuarios cuyo álbum es privado, permitiendo tener acceso a las fotografías almacenadas en él.

Explotación

Cuando se accede al perfil de un usuario, la petición generada por la aplicación al servidor es la siguiente:

GET http://instagram.com/api/v1/users/USER_ID/info/ HTTP/1.1

Donde se pasa como parámetro distintivo el USER_ID y a partir de ahí se van generando las llamadas a la api. En el caso de la vulnerabilidad, para llegar a explotarla se decidió generar una petición de amistad legítima.

El aspecto que presenta la aplicación cuando esto sucede es el siguiente:

La petición para aceptar la petición de amistad es la siguiente:

POST http://instagram.com/api/v1/friendships/approve/USER_ID/ HTTP/1.1

Y además de la cookie con información sobre la sesión del usuario identificado en la aplicación, se envía el siguiente parámetro

signed_body=d3e7a3eda18825318482b0f5866c7bbaba4fe...........%7B%22user_id%22%3A%22USER_ID%22%7D

Dándole un vistazo, parece ser algún tipo de hash generado que otorga validez a la petición de amistad realizada por el usuario cuyo USER_ID también es enviado en la propia petición.

Por otro lado la petición de rechazar amistad, presenta el siguiente aspecto:

POST http://instagram.com/api/v1/friendships/ignore/182383487/ HTTP/1.1
...
signed_body=d3e7a3eda18825318482b0f5866c7bbaba4fe........%7B%22user_id%22%3A%22USER_ID%22%7D

Únicamente cambia la llamada a la API que se realiza, utilizando el método de ignore en lugar de approve.

Teniendo en cuenta esto, la primera prueba que se realizó fue ver si era posible realizar enumeración de usuarios y obtener aquellos datos publicados en su perfil.

Permitió obtener la siguiente información:

  • Un campo status, supongo que con información relevante hacia el estado de la cuenta.
  • Un array de nombre user, que a su vez posee los siguientes campos: {username – media_count – following_count – profile_pic_url – biography – full_name – follower_count – pk -is_private – external_url} (todos bastante descriptivos por su nombre).

Sabiendo la posibilidad de realizar esta enumeración de usuarios (que resulta ser una feature de la API) el siguiente paso fue hacer la prueba de si el hash generado para la petición de amistad legítima, podría ser utilizada para engañar al servidor y obligar a que todos los usuarios de la aplicación, automáticamente sin su conocimiento, fueran agregados como seguidores de nuestro perfil.

El resultado generado fue el siguiente:

Donde se puede apreciar que nuestro vector de ataque ha tenido éxito, y la petición devuelta por el servidor está compuesta por los siguientes parámetros:

  • Un campo status, supongo que con información relevante hacia el estado de la amistad.
  • Un array de nombre friendship_status, que a su vez posee los siguientes campos: {incoming_request – followed_by – outgoing_request – following – blocking – is_private} (todos bastante descriptivos por su nombre).

El resultado antes y después de hacer las pruebas:

 

¿Cuál puede ser el alcance de este fallo? Basta con darnos un paseo por el twitter de celebridades de Hollywood, famosos, presidentes del gobierno, etc. Acceder a su perfil de Instagram, obtener su ID de usuario y automáticamente explotar esta vulnerabilidad.

Independientemente de que su perfil sea privado, obtendremos acceso a sus fotos. Un ejemplo de esto:

Y como somos buenas personas y estamos de buen rollo. Vamos a felicitarle por la nueva adquisición.

 

63 pensamientos en “Vulnerabilidad en Instagram (Friendship Vulnerability)

  1. Pingback: Instagram vulnerability can allow strangers access to photos and more | ESET ThreatBlog

  2. Pingback: Vulnerabilidad en Instagram (Friendship Vulnerability) « Infosec « Hacking « xora.org

  3. Pingback: Insta-Friends? Spanish Hacker Finds Big Instagram Privacy Hole | Xconomy

  4. Pingback: Possible Instagram security vulnerability reportedly revealed, forcing a follow from any user | Daily Easy News

  5. Pingback: Instagram出現漏洞: 強制令任何人成為跟隨follower | Appappapps.com Blog

  6. Pingback: Instagram vulnerability: Anyone can add you, see your photos

  7. Pingback: Possible Instagram security vulnerability reportedly revealed; update: Instagram says bug fixed, no private data made public | Meslema

  8. Pingback: Instagram-bug liet je andere gebruikers ongevraagd terugvolgen - iPhoneclub.nl

  9. Pingback: Instagram vulnerability can allow strangers access to your photos and more « esetireland

  10. Pingback: Experto español detecta un grave fallo de seguridad en Instagram

  11. Pingback: Instagram出現漏洞: 強制令任何人成為跟隨follower | 香港開發者網

  12. Pingback: Instagram vulnerability can allow strangers access to your photos and more

  13. Pingback: Privatne fotke (pre)lako prestaju biti privatne | Croportal Magazin

  14. Pingback: Vulnerabilidad en Instagram (Friendship Vulnerability)

  15. Pingback: Instagram corrige un bug sur les demandes d’amis Montserrat Agence de Communication

  16. Pingback: Instagram : Une faille expose les comptes et photos privées - WebLife

  17. Pingback: Privacy and Trust

  18. Pingback: Instagram Addresses “Friendship Vulnerability” | CISSP 2 CISSP

  19. Pingback: Instagram corrige un bug sur les demandes d’amis - The World Information

  20. Pingback: TECH : Technology News, Updates & Reviews « Buy and Sell Philippines

  21. Pingback: Instagram, la vilaine faille de sécurité est corrigée !

  22. Pingback: Fout in Instagram liet je automatisch terugvolgen - iPhone 4s - iPhoned.nl

  23. Pingback: ste williams » Instagram bug ‘exposed’ hipsters’ private photos to strangers

  24. Pingback: [Réseaux Sociaux] Il profite d'un bug pour devenir l'ami de Mark Zuckerberg - iGoldHouse - Le blogiGoldHouse – Le blog

  25. Pingback: Instagram : une faille permet d’accéder aux photos privées | I-TechNews

  26. Pingback: Instagram vulnerability: Anyone can see your photos, add you

  27. Pingback: Bug no Instagram revela fotos marcadas como privadas - macmais - http://macmais.com.br/

  28. Pingback: Rob’s Radar 7/12 | Robert Croak

  29. Pingback: Vulnerability in Instagram App Found | | Gregory Allen DeeseGregory Allen Deese

  30. Pingback: Un español descubre una grave vulnerabilidad en Instagram « Francisco Unica

  31. Pingback: Un español descubre una vulnerabilidad en Instagram que compromete la privacidad » tecnoic.com

  32. Pingback: Un español descubre una grave vulnerabilidad en Instagram | Noticias de actualidad

  33. Pingback: Anónimo

  34. Pingback: Un español descubre una grave vulnerabilidad en Instagram :: Noticias España

  35. Pingback: A spanish guy finds a Follower vulnerability in Instagram Api | Instagramers.com

  36. Pingback: Instagram bug ‘exposed’ hipsters’ private photos to strangers : Privacy Gene

  37. Pingback: elKisin | Vulnerabilidad en Instagram

  38. Pingback: Descubren una grave vulnerabilidad en Instagram | EnHacke

  39. Pingback: Instagram presenta un fallo de privacidad con las peticiones de amistad. | Su Tecnologia al Alcance de Todos.

  40. Pingback: Biztonsági rést találtak az Instagramban - Etikus Hacker - Etikus Hacker

  41. Pingback: Instagram Allegedly Downplays Security Vulnerability

  42. Pingback: Instagram corrige un bug sur les demandes d’amis | Depannage pc informatique

  43. Pingback: vulnerabilidad de seguridad instagram

  44. Pingback: Instagram corrige un bug sur les demandes d’amis | TEAM =OVET=

  45. Pingback: ROMSCENTRO - Un español descubre una grave vulnerabilidad en Instagram

  46. Pingback: Un español descubre una grave vulnerabilidad en Instagram. » vodootec.com

  47. Pingback: Une faille de sécurité découverte sur Instagram | Votre site internet à prix canon

  48. Pingback: Descubren una grave vulnerabilidad en Instagram | Innovar.org

  49. Pingback: Un español descubre una grave fallo de seguridad en Instagram | Lucía Sendón Lago | DAculturayocio.com

  50. Pingback: Une faille dans instagram | pakdekro.org

  51. Pingback: Un español encuentra un grave fallo de seguridad en Instagram | Adolfo y sus noticias diversas

  52. Pingback: إغلاق ثغرة في تطبيق Instagram كانت تُمكن من الوصول إلى صور الحسابات المحمية من دون موافقة أصحابها | المجلة التقنية

  53. Pingback: Un español hace público un fallo de seguridad en Instagram | Actualidad iPhone

  54. Pingback: Un español hace público un fallo de seguridad en Instagram | Binary Apple

  55. Pingback: Un español hace público un fallo de seguridad en Instagram | GCtoday

  56. Pingback: Un español hace público un fallo de seguridad en Instagram

  57. Pingback: Un español hace público un fallo de seguridad en Instagram | Jobbr es

  58. Pingback: Une faille de sécurité découverte sur Instagram | loKaliz.me

  59. Pingback: Des données et photos privées révélées par la faille de sécurité d'Instagram - Zone Numerique

  60. Hola quisiera saber si existe alguna forma de captar seguidores masivamente en mi cuentea de instagram pero de una ciudad especifica ya que cuento con un almacén y me gustaría q se diera a conocer por ese medio. Gracias

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos necesarios están marcados *

Puedes usar las siguientes etiquetas y atributos HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong> <pre lang="" line="" escaped="" cssfile="">