Vulnerabilidade no Instagram dava acesso a informações pessoais dos usuários

A companhia de segurança Check Point anunciou nesta quinta-feira (24) que seu time de pesquisadores descobriu uma vulnerabilidade crítica na rede social Instagram. Que, se utilizada, poderia dar acesso a arquivos como contatos, câmera e armazenamento do dispositivo móvel, dentro de um sistema conhecido no mercado de segurança como execução arbitrária de código (ou Remote Code Execution, em inglês). 

De acordo com a companhia, a vulnerabilidade foi encontrada em um encoder de código aberto chamado Mozjpeg, utilizado pela Instagram para fazer o upload das imagens publicadas pelos usuários de forma a reduzir ao máximo o tamanho da foto enviada sem perder a qualidade da resolução. 

“A maioria dos desenvolvedores modernos não escreve o aplicativo inteiro por conta própria e, em vez disso, eles usam bibliotecas de terceiros para lidar com tarefas comuns (e muitas vezes complicadas), como processamento de imagem, processamento de som, conectividade de rede e assim por diante”, explica a empresa em parte do comunicado.  

“Isso [utilizar recursos já criados] libera os desenvolvedores para lidar apenas com as tarefas de modificação que representam a lógica de negócios principal do aplicativo.” 

A empresa já notificou o Facebook, dono da rede social de imagens, que já corrigiu o problema. A companhia de segurança recomenda olhar o aplicativo na loja (App Store ou Google Play) para ter a certeza de que ele está atualizado. 

Passo a passo do ataque e cuidados

A Check Point explica que, por meio do  Mozjpeg, um criminoso poderia tomar o controle do aparelho de uma vítima por meio das seguintes ações: 

• Envio de uma imagem para o e-mail da vítima, WhatsApp ou outra plataforma de troca de mídia social.
• A imagem seria salva no smartphone do usuário de forma automática ou manual, dependendo do método de envio, tipo de celular e configurações. Uma imagem enviada via WhatsApp, por exemplo, pode ser salva no dispositivo automaticamente por padrão.
• A vítima abriria o aplicativo Instagram e a imagem maliciosa, a qual dispararia a falha de segurança no aplicativo ativando-a automaticamente e isso daria ao atacante acesso total ao dispositivo móvel.

Segundo Yaniv Balmas, chefe de pesquisas da Check Point, a descoberta de vulnerabilidade levantou a discussão sobre dois tópicos:

• 1) como o uso de bibliotecas de código aberto, desenvolvidas por terceiros, precisam ser olhadas com mais atenção pelas empresas;
• e 2) a necessidade de o usuário olhar de forma mais crítica para as permissões de uso exigidas pelos aplicativos e se, dependendo da solução, vale a pena mesmo conceder o acesso pedido.

“Na prática, esta é uma das linhas de defesa mais fortes que todos têm contra ciberataques móveis, e eu aconselho a todos a parar um minuto e pensar se realmente querem dar a um determinado aplicativo o acesso à minha câmera, ao meu microfone e assim por diante”, completa Balmas.