Vulnerabilidad Oauth en Instagram


Recientemente se descubrió una vulnerabilidad Oauth sobre Instagram que permite a un atacante ingresar a cualquier cuenta de forma no legítima. Esta vulnerabilidad fue reportada por Nir Goldshlager, quien previamente había descubierto otras vulnerabilidades sobre Facebook y las había reportado.





La vulnerabilidad puede ser explotada de dos formas diferentes. La primera opción es el robo de la cuenta a través de la propia vulnerabilidad Oauth de Instagram. La segunda opción es mediante el robo de sesión a través de Facebook.

En el primer método, el atacante utiliza el parámetro redirection_uri que valida el sitio web indicado donde, en una primera instancia, parecía que no era vulnerable. Sin embargo el investigador descubrió que este parámetro podía ser explotado si se modificaba el sufijo del sitio especificado. En otras palabras, si el sitio finalizaba en “.com” podía pasarse como parámetro “.com.mx”. Si el ciberdelincuente deseaba llevar a cabo el ataque, debía comprar previamente el dominio con el sufijo modificado. De esta forma, podía robar el token de la propia cuenta.

Mediante el segundo método el investigador demostró que es posible utilizar cualquier dominio en el parámetro redirection_uri. De esta manera, un atacante podría robar el token de sesión de cualquier usuario de Instagram. Esta vulnerabilidad ya ha sido solucionada por el equipo de seguridad de Facebook luego de que fue reportada.

No es la primera vez que reportamos vulnerabilidades relacionadas con Facebook. Sumado a esto, es un tema conocido que existen aplicaciones maliciosas en Facebook y en este caso en particular fue una vulnerabilidad que ya se encuentra solucionada. Sin embargo, mas allá de las vulnerabilidades que afecten a las redes sociales, es importante que los usuarios consideren adoptar buenas prácticas. Es por esto que desde ESET Latinoamérica, recomendamos la lectura de nuestra guía de privacidad en Facebook. Asimismo, considerando las redes sociales en general, les recordamos la lectura de nuestra guía de seguridad en redes sociales para conocer más acerca de las mismas.

Fuente:
Fernando Catoira
Analista de Seguridad
http://blogs.eset-la.com/



Otras noticias de interés:

El Grupo khronos anunció nuevo release deel OpenGL 3.0 ... Al fin!
El Grupo khronos anunció el 11 de agosto que ha lanzado el release del OpenGL 3,0, respladado con un buen apoyo de la industria para lograr nuevas e importantes funcionalidades....
¿Vulnerabilidades en usuarios sin privilegios?
La seguridad de las aplicaciones que dan soporte a un negocio son cruciales para su éxito. Por ello, las normas y códigos de buenas prácticas en los sistemas de SGSI, aconsejan la creación y el uso de usuarios con permisos restringidos....
Lentin, un nuevo virus se autoejecuta con sólo visualizarlo
Lentin (W32/Lentin.E). Éste se propaga a través de correo electrónico y, al igual que Klez.I o Badtrans.B, tiene la capacidad de autoejecutarse simplemente con la vista previa del mensaje de correo electrónico en el que llega incluido, debido a u...
Cómo trata Google a sitios hackeados?
Matt Cutts, el responsable del equipo antiwebspam de Google, cuenta en su blog como un sitio fue primero hackeado por terceros, luego eliminado del índice por Google y finalmente como se alertó a los responsable del sitio en cuestión para ofrecerl...
Envía tu Nombre a MARTE!!!!
La NASA cerrará el 15 de noviembre la recepción de nombres para incluir en el equipaje de dos sondas motorizadas que partirán hacia Marte el año próximo y empezarán a buscar agua bajo la superficie a comienzos de 2004. ...
Europa realizará en noviembre un simulacro de ciberseguridad
La Unión Europea está planificando un ejercicio de ciberseguridad entre los 27 Estados miembro, Suiza, Noruega e Islandia para el próximo mes de noviembre. La prueba constituirá el primer paso para una mayor cooperación interestatal en la defe...
Peligro en el cifrado de Microsoft Windows
Un investigador ha descubierto un nuevo tipo de ataque que podría afectar a los programas de cifrado de Windows si el atacante logra encontrar primero una manera de lograr privilegios sobre el núcleo del sistema operativo....
Los dispositivos móviles, un gran dilema de seguridad para los CIO
Los ataques de malware han aumentado su incidencia sobre smartphones y dispositivos móviles, sobre todo por la proliferación de estos terminales en los entornos laborales; un cambio que obliga a los CIO a prestar mayor atención a la protección de...
180 mil sitios web realizados en ASP.Net hackeados!
Según la empresa de seguridad Armorize, los atacantes han sido capaces de insertar un Javascript malicioso que carga un iframe con un sitio web malicioso (a veces www3.strongdefenseiz.in y otras veces www2.safetosecurity.rr.nu). A partir de ahí, el...
Botnet Kelihos reactivada
La botnet Kelihos, que Microsoft y Kaspersky inhabilitaron el pasado mes de septiembre vuelve a enviar spam sin los expertos pueden impedirlo. La botnet sólo infectó 45.000 máquinas, pero era capaz de enviar 4.000 millones de mensajes de spam cada...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • instagram
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • oauth
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidad
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra