Uma vulnerabilidade crítica de Remote Code Execution (RCE) no Instagram pode permitir que o atacante assuma o controle da conta da vítima e execute ações sem o seu consentimento, como ler conversas, excluir ou postar fotos e manipular as informações do perfil da conta. Pesquisadores da Check Point Research, braço de inteligência em ameaças da Check Point Software, detectaram que a falha de segurança possibilita ao hacker realizar qualquer ação que envolva a lista de permissões.
Os dispositivos móveis com Android e iOS são a porta de entrada para as violações. A falha transformaria o dispositivo em um meio para espionar a vítima, uma vez que o hacker seria capaz de acessar os contatos, dados de localização, câmera e arquivos armazenados no dispositivo móvel, entre outros. Dessa forma, o atacante poderia até mesmo bloquear o acesso à conta pela vítima, o que levaria a problemas como roubo de identidade ou perda de dados.
Os pesquisadores da Check Point descobriram a vulnerabilidade no Mozjpeg, um decodificador JPEG de código aberto que é usado pelo Instagram para fazer upload de imagens no perfil do usuário. Sendo assim, os pesquisadores estão alertando os desenvolvedores de aplicativos sobre os riscos potenciais do uso de bibliotecas de código de terceiros em seus aplicativos sem verificar se há falhas de segurança.
Isso porque a maioria dos desenvolvedores modernos não escreve o aplicativo inteiro por conta própria e, em vez disso, eles usam bibliotecas de terceiros para lidar com tarefas comuns (e muitas vezes complicadas), como processamento de imagem, processamento de som, conectividade de rede e assim por diante. Isso libera os desenvolvedores para lidar apenas com as tarefas de codificação que representam a lógica de negócios principal do aplicativo.
Veja isso
Descoberto golpe no Instagram para clonagem de contas e roubo de dados
Instagram expande programa de verificação de fatos globalmente
No caso da vulnerabilidade detectada no Instagram, os especialistas apontaram que o atacante só precisaria de uma única imagem maliciosa para atingir seu objetivo em três etapas:
• O atacante enviaria uma imagem para o e-mail da vítima, WhatsApp ou outra plataforma de troca de mídia social.
• A imagem seria salva no smartphone do usuário de forma automática ou manual, dependendo do método de envio, tipo de celular e configurações. Uma imagem enviada via WhatsApp, por exemplo, pode ser salva no dispositivo automaticamente por padrão.
• A vítima abriria o aplicativo Instagram e a imagem maliciosa, a qual dispararia a falha de segurança no aplicativo ativando-a automaticamente e isso daria ao atacante acesso total ao dispositivo móvel.
“Após essa pesquisa, surgiram dois tópicos importantes. Em primeiro lugar, as bibliotecas de código de terceiros podem ser uma ameaça séria. Por isso, recomendamos fortemente que os desenvolvedores examinem as bibliotecas de código de terceiros que usam para construir suas infraestruturas de aplicativos e garantam que sua integração seja feita de maneira adequada”, explica Yaniv Balmas, chefe de pesquisas da Check Point.
“Em segundo lugar, as pessoas precisam ter tempo para verificar as permissões que um aplicativo tem em seu dispositivo. Essa mensagem ‘aplicativo está pedindo permissão’ pode parecer um incômodo e é fácil apenas clicar em ‘Sim’. Mas, na prática, esta é uma das linhas de defesa mais fortes que todos têm contra ciberataques móveis, e eu aconselho a todos a parar um minuto e pensar se realmente querem dar a um determinado aplicativo o acesso à minha câmera, ao meu microfone e assim por diante”, completa Balmas.