Uma vulnerabilidade no aplicativo do Instagram poderia permitir que invasores assumissem total controle da conta de usuários da rede social, executando ações sem o seu consentimento. Se explorada, a falha também poderia transformar o celular da vítima em um dispositivo de espionagem, já que fornece acesso à localização, microfone, câmera, armazenamento e contatos. A brecha de segurança, detectada nas versões para Android e iOS, já foi corrigida pelo Facebook. Por isso, é importante atualizar o aplicativo.

A falha foi descoberta há alguns meses por pesquisadores da Check Point, empresa de cibersegurança israelense, mas só foi revelada na última quinta-feira (24). De acordo com a empresa, eles quiseram garantir que os usuários já teriam atualizado seus aplicativos, reduzindo possíveis riscos. O Instagram, por lado, respondeu ao TechTudo que não acredita que o bug tenha feito vítimas. O posicionamento completo pode ser lido no final do texto.

A falha, considerada crítica pela Check Point, reside no Mozjpeg, decodificador JPEG de código aberto que é usado pelo Instagram para fazer upload de fotos no perfil do usuário. Se explorada com sucesso, a brecha permitiria, a partir de uma única imagem, a execução de códigos remotos para realizar qualquer ação prevista na lista de permissões do aplicativo do Instagram. Isso inclui acesso à localização, microfone, câmera, armazenamento e contatos, por exemplo.

Para invadir o celular da vítima, o atacante precisaria apenas enviar uma imagem para o e-mail, WhatsApp ou qualquer outra plataforma de troca de mídias do usuário alvejado. Ao abrir o arquivo malicioso e, em seguida, o aplicativo do Instagram, a pessoa ativaria, sem saber, a falha de segurança, concedendo ao invasor acesso total ao dispositivo.

Além de comandar o smartphone, o atacante também estaria no controle da conta do Instagram, o que o permitiria ler conversas, excluir ou postar fotos e manipular as informações do perfil. O invasor poderia, inclusive, bloquear o acesso à conta pela vítima, o que levaria a problemas como roubo de identidade ou perda de dados.

Segundo Yaniv Balmas, chefe de pesquisas da Check Point, a descoberta da vulnerabilidade aponta para a importância de revisar as permissões concedidas aos aplicativos. “Essa mensagem ‘aplicativo está pedindo permissão’ pode parecer um incômodo e é fácil apenas clicar em ‘Sim’. Mas, na prática, esta é uma das linhas de defesa mais fortes que todos têm contra ciberataques móveis, e eu aconselho a todos a parar um minuto e pensar se realmente querem dar a um determinado aplicativo o acesso à minha câmera, ao meu microfone e assim por diante”, afirma.

O que dizem os envolvidos

Os pesquisadores da Check Point comunicaram a descoberta da falha de segurança ao Facebook, empresa responsável pelo Instagram. A companhia de Mark Zuckerberg reparou a brecha, lançando um patch para corrigir a vulnerabilidade em edições mais recentes (posteriores à versão 128.0.0.26.128) do aplicativo do Instagram em todas as plataformas de software mobile.

Em nota ao TechTudo, a Check Point confirmou a correção da falha e encorajou os usuários a atualizar para a versão mais recente do app do Instagram.

“O patch para esta vulnerabilidade já estava disponível seis meses antes desta publicação [sobre a vulnerabilidade], para garantir que os usuários do Instagram atualizassem seus aplicativos, reduzindo assim o risco de exploração dessa vulnerabilidade. Nós encorajamos todos os usuários do Instagram a garantirem que estão usando a versão mais recente do aplicativo Instagram e a atualizar se alguma nova versão estiver disponível.”

Também em resposta ao TechTudo, o Instagram ressaltou a rápida reparação da brecha e criticou a abordagem da Check Point, que classificou como “exagerada”.

“O relatório da Check Point dá importância exagerada a um bug que foi rapidamente corrigido e que não temos motivos para acreditar que tenha afetado alguém. Em sua própria investigação, a Check Point não conseguiu explorar o bug com sucesso.”

Via Techtudo