Versión de la aplicación: 44.0
Redes sociales |
Sistema Operativo: iOS 11.3.1 (iPhone, iPad)
La debilidad encontrada se encuentra en el proceso de recuperación de la cuenta de Instagram, siempre que el mismo se realice desde la aplicación móvil del sistema operativo iOS (iPhone, iPad). El problema detectado consiste en que la utilización del token enviado no fuerza el cambio de contraseña (como sí sucede si el usuario intenta recuperar la cuenta vía Web o desde un dispositivo Android), sino que permite el ingreso de forma directa, desde cualquier dispositivo, sin generar alertas o cerrar las sesiones ya iniciadas.
Es decir, capturado el token de autenticación en el proceso de recuperación de la cuenta de Instagram -que llega vía mail o vía sms-, puede ser utilizado para iniciar sesiones de forma directa desde cualquier dispositivo, y sin ningún tipo de aviso de seguridad para el titular de la cuenta, sobre el inicio de sesiones en otros dispositivos.
Impacto
El impacto de este fallo implica que en la actualidad, cualquier usuario de Instagram podría tener su cuenta “intervenida” o “pinchada”, donde todas sus conversaciones privadas podrían estar siendo accedidas por terceros, sin que el legítimo titular de la cuenta pueda enterarse NUNCA.
Ante un acceso indebido, en Instagram no existen notificaciones de seguridad que avisen al usuario sobre el acceso sospechoso o irregular, ni al correo electrónico ni en la propia aplicación.
Adicionalmente, la falta de registros de sesiones iniciadas en Instagram, implica que hoy no es posible para el usuario saber cuantas sesiones iniciadas existen, ni mucho menos desde que dispositivos o dirección IP se han iniciado, aspecto de seguridad que cualquier usuario si podría saber en Facebook o Whatsapp (servicios del mismo grupo empresario).
Esta falta de registros de seguridad, implica como consecuencia que tampoco es posible que el legítimo usuario opte por cerrar todas sesiones abiertas en la propia cuenta, haciendo que la única opción para asegurarse de que nadie más se encuentra dentro de nuestra cuenta, sea forzando el cambio de contraseña (que cierra todas las sesiones).
Estructura del token SMS desde la Aplicación iPhone
Estructura de Token de reseteo por username, desde la app app iPhone, que llega al correo electrónico.
Estructura de Token de Reseteo Web (token fuerte ya que fuerza el cambio de contraseña)
A modo de aclaración, informamos que no se ha probado realizar un ataque de fuerza bruta sobre el token generado, algo que sería posible entendiendo que la longitud del token siempre es fija (6 caracteres), y es una combinación de letras mayúsculas, minúsculas y números.
Estándares de desarrollo seguro implicados
Respecto del cumplimiento con estándares de desarrollo seguro, como OWASP, consideramos que este fallo afecta al menos 5 de los 10 tópicos del OWASP 2017 (
A nuestro criterio, los aspecto a mejorar por parte de Instagram para solucionar este problema de seguridad son:
The issue you’ve reported would not have qualified for a bounty. As part of exploiting the issue you describe, someone needs to take control of a user’s mobile phone and get that phone in an unlocked state. This is a very high barrier to entry and seems unlikely to happen commonly, making this more of a theoretical attack. The protection in this case is to not allow someone to steal and unlock your phone. Choosing to blog about valid reports before we’ve had a chance to triage them would forfeit any possible bounties, please keep this in mind for any future reports.
Gracias por comunicarse con Facebook,
Stephen
Security
Fuente: www.asegurarte.com.ar
Dejá tu comentario