Está claro que Instagram, con varias decenas de millones de usuarios (y comprada recientemente por Facebook por 1.000 millones de dólares), iba a ser el objetivo del escrutinio de los expertos en seguridad para sacarle fallos. Lo bueno del que hoy os traemos es que lo ha encontrado un español.
En su blog, Sebastián Guerrero muestra paso a paso cómo conseguir añadir a cualquier usuario de Instagram a la lista de amigos. El fallo reside en la falta de control de las peticiones del protocolo HTTP que se realizan en la aplicación. Generando una petición falsa de aprobación con el hash generado en la solicitud de amistad (un código identificador único de dicha solicitud) con el número de usuario que tiene que aprobar la amistad vale para confirmarnos como amigo. Sencillo, y muy tonto, la verdad. Con esto obtendremos acceso a todas las fotos de su cuenta aunque su perfil sea privado.
Y qué mejor que añadir al mismísimo atontado de Mark Zuckerberg como amigo para demostrar las vulnerabilidades de su nuevo juguete. Ahora, el descubridor del fallo ya se lo ha comunicado a Facebook y está a la espera de que inicien el programa de recompensas por caza de fallos (muy típico hoy en día en las aplicaciones Web, que son las que más propician los ataques de los hackers a nuestros ordenadores e información).