Instagram tem falha grave de segurança

Uma nova falha grave de segurança permite ao hacker assumir o controle da conta da vítima no Instagram, uma das redes sociais mais populares do mundo, e executar ações sem o seu consentimento e bloquear o acesso. O invasor poderia ler conversas, excluir ou postar fotos e manipular as informações do perfil da conta. Além disso, transformaria o dispositivo em um meio para espionar a vítima, acessando os contatos, dados de localização, câmera e arquivos armazenados no dispositivo móvel.
A vulnerabilidade, tecnicamente chamada de Remote Code Execution (RCE), foi descoberta por pesquisadores da Check Point Research (CPR). Eles analisaram a segurança do aplicativo nos sistemas operacionais Android e iOS, tendo verificado que, se fosse explorada, o bug possibilitaria ao atacante realizar qualquer ação que envolvesse a lista de permissões.

Os pesquisadores da Check Point descobriram a vulnerabilidade no Mozjpeg, um decodificador JPEG de código aberto que é usado pelo Instagram para fazer upload de imagens no perfil do usuário. Os pesquisadores estão alertando os desenvolvedores de aplicativos sobre os riscos potenciais do uso de bibliotecas de código de terceiros em seus aplicativos sem verificar se há falhas de segurança.
A maioria dos desenvolvedores não escreve o aplicativo inteiro por conta própria e, em vez disso, usam bibliotecas de terceiros para lidar com tarefas comuns, como processamento de imagem, processamento de som, conectividade de rede e assim por diante. Isso libera os desenvolvedores para lidar apenas com as tarefas de codificação, que representam a lógica de negócios principal do aplicativo.
No caso da vulnerabilidade detectada pela Check Point no Instagram, os especialistas apontaram que o atacante só precisaria de uma única imagem maliciosa para atingir seu objetivo. Primeiramente ele envia uma imagem para a vítima, que pode ser pelo WhatsApp ou outro serviço. A imagem seria salva no smartphone do usuário de forma automática ou manual, dependendo do método de envio, tipo de celular e configurações. Uma imagem enviada via WhatsApp, por exemplo, pode ser salva no dispositivo automaticamente por padrão. Ao acessar o Instagram o código é ativado, permitindo total controle do dispositivo.
“Após essa pesquisa, surgiram dois tópicos importantes. Em primeiro lugar, as bibliotecas de código de terceiros podem ser uma ameaça séria. Por isso, recomendamos fortemente que os desenvolvedores examinem as bibliotecas de código de terceiros que usam para construir suas infraestruturas de aplicativos e garantam que sua integração seja feita de maneira adequada”, explica Yaniv Balmas, chefe de Pesquisas da Check Point. “Em segundo lugar, as pessoas precisam ficar atentas às permissões. A mensagem Aplicativo está pedindo permissão pode parecer um incômodo e é fácil apenas clicar em Sim. Mas, na prática, esta é uma das linhas de defesa mais fortes que todos têm contra ciberataques móveis, e eu aconselho a todos pararem um minuto e pensarem se realmente querem dar a um determinado aplicativo o acesso à câmera, ao microfone e assim por diante”, completa Balmas.
Como se proteger
Os pesquisadores da Check Point reportaram a descoberta ao Facebook, dona do Instagram, que lançou uma patch para corrigir a vulnerabilidade. Por isso, é imprescindível atualizar regularmente os aplicativos móveis e os sistemas operacionais. Dezenas de patches de segurança são lançadas nessas atualizações semanalmente, e a falha na instalação pode ter um impacto grave na privacidade do usuário.
Outra dica de segurança é prestar mais atenção aos aplicativos que solicitam permissões. É muito conveniente para os desenvolvedores de aplicativos solicitarem permissões excessivas aos usuários, e é muito cômodo para os usuários clicarem em Sim sem ler. É importante pensar alguns segundos antes de aprovar algo. Se não for necessário para o funcionamento do aplicativo, é melhor não autorizar o acesso.
Serviço
www.checkpoint.com