book_icon

Instagram tem falha grave de segurança

Descoberta pela Check Point, vulnerabilidade permite ao hacker controle do aplicativo e do dispositivo móvel do usuário
Instagram tem falha grave de segurança

Uma nova falha grave de segurança permite ao hacker assumir o controle da conta da vítima no Instagram, uma das redes sociais mais populares do mundo, e executar ações sem o seu consentimento e bloquear o acesso. O invasor poderia ler conversas, excluir ou postar fotos e manipular as informações do perfil da conta. Além disso, transformaria o dispositivo em um meio para espionar a vítima, acessando os contatos, dados de localização, câmera e arquivos armazenados no dispositivo móvel.
A vulnerabilidade, tecnicamente chamada de Remote Code Execution (RCE), foi descoberta por pesquisadores da Check Point Research (CPR). Eles analisaram a segurança do aplicativo nos sistemas operacionais Android e iOS, tendo verificado que, se fosse explorada, o bug possibilitaria ao atacante realizar qualquer ação que envolvesse a lista de permissões.

Os pesquisadores da Check Point reportaram a descoberta ao Facebook, dona do Instagram, que lançou uma patch para corrigir a vulnerabilidade  

Os pesquisadores da Check Point descobriram a vulnerabilidade no Mozjpeg, um decodificador JPEG de código aberto que é usado pelo Instagram para fazer upload de imagens no perfil do usuário. Os pesquisadores estão alertando os desenvolvedores de aplicativos sobre os riscos potenciais do uso de bibliotecas de código de terceiros em seus aplicativos sem verificar se há falhas de segurança.
A maioria dos desenvolvedores não escreve o aplicativo inteiro por conta própria e, em vez disso, usam bibliotecas de terceiros para lidar com tarefas comuns, como processamento de imagem, processamento de som, conectividade de rede e assim por diante. Isso libera os desenvolvedores para lidar apenas com as tarefas de codificação, que representam a lógica de negócios principal do aplicativo.
No caso da vulnerabilidade detectada pela Check Point no Instagram, os especialistas apontaram que o atacante só precisaria de uma única imagem maliciosa para atingir seu objetivo. Primeiramente ele envia uma imagem para a vítima, que pode ser pelo WhatsApp ou outro serviço. A imagem seria salva no smartphone do usuário de forma automática ou manual, dependendo do método de envio, tipo de celular e configurações. Uma imagem enviada via WhatsApp, por exemplo, pode ser salva no dispositivo automaticamente por padrão. Ao acessar o Instagram o código é ativado, permitindo total controle do dispositivo.
“Após essa pesquisa, surgiram dois tópicos importantes. Em primeiro lugar, as bibliotecas de código de terceiros podem ser uma ameaça séria. Por isso, recomendamos fortemente que os desenvolvedores examinem as bibliotecas de código de terceiros que usam para construir suas infraestruturas de aplicativos e garantam que sua integração seja feita de maneira adequada”, explica Yaniv Balmas, chefe de Pesquisas da Check Point. “Em segundo lugar, as pessoas precisam ficar atentas às permissões. A mensagem Aplicativo está pedindo permissão pode parecer um incômodo e é fácil apenas clicar em Sim. Mas, na prática, esta é uma das linhas de defesa mais fortes que todos têm contra ciberataques móveis, e eu aconselho a todos pararem um minuto e pensarem se realmente querem dar a um determinado aplicativo o acesso à câmera, ao microfone e assim por diante”, completa Balmas.
Como se proteger
Os pesquisadores da Check Point reportaram a descoberta ao Facebook, dona do Instagram, que lançou uma patch para corrigir a vulnerabilidade. Por isso, é imprescindível atualizar regularmente os aplicativos móveis e os sistemas operacionais. Dezenas de patches de segurança são lançadas nessas atualizações semanalmente, e a falha na instalação pode ter um impacto grave na privacidade do usuário.
Outra dica de segurança é prestar mais atenção aos aplicativos que solicitam permissões. É muito conveniente para os desenvolvedores de aplicativos solicitarem permissões excessivas aos usuários, e é muito cômodo para os usuários clicarem em Sim sem ler. É importante pensar alguns segundos antes de aprovar algo. Se não for necessário para o funcionamento do aplicativo, é melhor não autorizar o acesso.
Serviço
www.checkpoint.com
 

Bug

Check Point

Instagram

Remote Code Execution

segurança

Yaniv Balmas

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *


As opiniões dos artigos/colunistas aqui publicados refletem exclusivamente a posição de seu autor, não caracterizando endosso, recomendação ou favorecimento por parte da Infor Channel ou qualquer outros envolvidos na publicação. Todos os direitos reservados. É proibida qualquer forma de reutilização, distribuição, reprodução ou publicação parcial ou total deste conteúdo sem prévia autorização da Infor Channel.
Revista Digital
Edição do mês

Leia nesta edição:

Leia nessa edição sobre tecnologia

CAPA | GESTÃO

A doce ditadura da Governança de Dados

Leia nessa edição sobre carreira

CARREIRA

Profissões do futuro

Leia nessa edição sobre setorial | saúde

SETORIAL

Área pública: desafios e lucros

Esta é para você leitor da Revista Digital:

Leia nessa edição sobre sustentabilidade

LEGISLAÇÃO

LGPD Ano Um: uma construção inacabada

Setembro | 2021 | #50 - Acesse:

Infor Channel Digital

Baixe o nosso aplicativo

Google Play
Apple Store

Agenda & Eventos

Cadastre seu Evento