X

Ya está disponible Instasheep, una nueva herramienta para hackear cuentas de Instagram

Siempre he pensado que Instagram es una de las redes sociales más inútiles de la historia, y por más de una razón. En primer lugar, toda la red social es sólo una fuente de contenido (fotos y videos) para Facebook, que es el propietario de la patética red social.

Por otro lado, Instagram está lleno de fallos de seguridad y vulnerabilidades, como una que permite a un atacante secuestrar la cuenta de cualquier usuario y posteriormente acceder a sus fotos privadas, eliminar fotos de la víctima, editar los comentarios y también publicar nuevas imágenes.

Pues bien, ayer, Stevie Graham, un desarrollador londinense lanzó una herramienta llamada «Instasheep», una extensión para Firefox que puede ser utilizada para comprometer las cuentas en línea de Instagram, de forma automática y con sólo un par de clics de ratón.

Graham descubrió varios fallos en Instagram hace unos años, y se sorprendió al darse cuenta de que todavía no habían sido corregidos por Facebook. Y se decidió a lanzar la herramienta después de que Facebook se negara a pagar una recompensa por el descubrimiento de las vulnerabilidades que afectan a la aplicación móvil de Instagram para iOS.

Con la ayuda de Instasheep, los usuarios que usan Instagram para iOS son vulnerables a ataques del tipo hombre-en-el-medio (MitM). Dado que Instagram envía algunos datos sin cifrar con la cookie de sesión, el usuario malicioso podrá utilizar estas cookies de sesión HTTP interceptadas en otro sistema/navegador para secuestrar la sesión de la cuenta de Instagram de la víctima.

A continuación se explica el procedimiento para hackear una cuenta de Instagram:

Paso 1. Lo primero que debes hacer es conectarte a una red WIFI abierta o con una clave WEP como las de los aeropuertos, autobuses, trenes o restaurantes.

Paso 2. Pon la herramienta en modo promiscuo y filtra i.instagram.com:

sudo tcpdump -In -i en0 -s 2048 -A dst i.instagram.com

Paso 3. Ahora es sólo cuestión de esperar a que alguien con iOS abra la aplicación de Instagram.

Paso 4. Cuando tengas un usuario, extrae la cookie desde la cabecera de la petición del resultado de la salida.

Paso 5. Utiliza el parámetro de la cookie sessionid para hacer llamadas al api (incluidos https y los mensajes directos):

curl -H 'User-Agent: Instagram 6.0.4 (iPhone6,2; iPhone OS 7_1_1; en_GB; en-GB) AppleWebKit/420+' \ -H 'Cookie: sessionid=REDACTED' \ https://i.instagram.com/api/v1/direct_share/inbox/`

Esto nos llevará a la bandeja de entrada de mensajes directos del usuario como JSON (JavaScript Object Notation).

A partir de aquí puedes hacer lo que quieras con la cuenta del usuario hackeado. Parece díficil, pero la verdad es que es bastante sencillo de hacer si te decides.

Facebook conoce el problema desde hace más de dos años, pero la verdad es que les importa poco solucionarlo. Después de todo, no hay mucha necesidad de invertir tiempo y dinero en la solución de un problema que afecta una red social que eventualmente está destinada a la desaparición.

Puedes descargar Instasheep haciendo clic aquí. Te recomiendo que uses la aplicación sólo para fines educativos, y jamás para hackear las cuentas de otros usuarios.

Dómadis Cabrera: Geek por naturaleza. Technorati por pasión. Emprendedor y amante del buen diseño. Disfruto probando cualquier cosa relacionada con la tecnología, da igual si es software o hardware. Viajero frecuente y amante de la adrenalina. Me divierte solucionar problemas y puedes seguirme en tu red social favorita, sólo tienes que buscarme por mi nombre.
Posts Relacionados