Vulnerabilidade crítica no Instagram colocaria em risco milhões de usuários em todo o mundo

A Check Point descobriu uma falha no tratamento de imagens desta rede social que permitiria assumir o controle de uma conta do Instagram a partir de uma única imagem e acessar serviços de localização, microfone, câmera, armazenamento, contatos, entre outros

Compartilhar:

Os pesquisadores da Check Point detectaram uma vulnerabilidade crítica de Remote Code Execution (RCE) no Instagram, uma das redes sociais mais populares de compartilhamento de fotos e vídeos com mais de 1 bilhão de usuários em todo o mundo. Eles analisaram a segurança do aplicativo nos sistemas operacionais Android e iOS, tendo verificado que, se fosse explorada, a vulnerabilidade possibilitaria ao atacante realizar qualquer ação que envolvesse a lista de permissões.

 

Essa falha de segurança permitiria que o atacante assumisse o controle da conta da vítima no Instagram e executasse ações sem o seu consentimento, como ler conversas, excluir ou postar fotos e manipular as informações do perfil da conta. Além disso, transformaria o dispositivo em um meio para espionar a vítima, uma vez que seria capaz de acessar os contatos, dados de localização, câmera e arquivos armazenados no dispositivo móvel, entre outros. Dessa forma, o atacante poderia até mesmo bloquear o acesso à conta pela vítima, o que levaria a problemas como roubo de identidade ou perda de dados.

 

Os pesquisadores da Check Point descobriram a vulnerabilidade no Mozjpeg, um decodificador JPEG de código aberto que é usado pelo Instagram para fazer upload de imagens no perfil do usuário. Sendo assim, os pesquisadores estão alertando os desenvolvedores de aplicativos sobre os riscos potenciais do uso de bibliotecas de código de terceiros em seus aplicativos sem verificar se há falhas de segurança.

 

Isto porque a maioria dos desenvolvedores modernos não escreve o aplicativo inteiro por conta própria e, em vez disso, eles usam bibliotecas de terceiros para lidar com tarefas comuns (e muitas vezes complicadas), como processamento de imagem, processamento de som, conectividade de rede e assim por diante. Isso libera os desenvolvedores para lidar apenas com as tarefas de codificação que representam a lógica de negócios principal do aplicativo.

 

No caso da vulnerabilidade detectada pela Check Point no Instagram, os especialistas apontaram que o atacante só precisaria de uma única imagem maliciosa para atingir seu objetivo em três etapas:

 

• O atacante enviaria uma imagem para o e-mail da vítima, WhatsApp ou outra plataforma de troca de mídia social.

 

• A imagem seria salva no smartphone do usuário de forma automática ou manual, dependendo do método de envio, tipo de celular e configurações. Uma imagem enviada via WhatsApp, por exemplo, pode ser salva no dispositivo automaticamente por padrão.

 

• A vítima abriria o aplicativo Instagram e a imagem maliciosa, a qual dispararia a falha de segurança no aplicativo ativando-a automaticamente e isso daria ao atacante acesso total ao dispositivo móvel.

 

“Após essa pesquisa, surgiram dois tópicos importantes. Em primeiro lugar, as bibliotecas de código de terceiros podem ser uma ameaça séria. Por isso, recomendamos fortemente que os desenvolvedores examinem as bibliotecas de código de terceiros que usam para construir suas infraestruturas de aplicativos e garantam que sua integração seja feita de maneira adequada”, explica Yaniv Balmas, chefe de pesquisas da Check Point.

 

“Em segundo lugar, as pessoas precisam ter tempo para verificar as permissões que um aplicativo tem em seu dispositivo. Essa mensagem ‘aplicativo está pedindo permissão’ pode parecer um incômodo e é fácil apenas clicar em ‘Sim’. Mas, na prática, esta é uma das linhas de defesa mais fortes que todos têm contra ciberataques móveis, e eu aconselho a todos a parar um minuto e pensar se realmente querem dar a um determinado aplicativo o acesso à minha câmera, ao meu microfone e assim por diante”, completa Balmas.

 

Dicas de proteção contra essa vulnerabilidade

 

Os pesquisadores da Check Point divulgaram de forma responsável suas descobertas ao Facebook, que adquiriu o Instagram em abril de 2012. O Facebook resolveu o problema , descrevendo a vulnerabilidade como um “estouro de número inteiro levando a estouro de buffer (“Integer Overflow leading to Heap Buffer Overflow” CVE-2020-1895)”, e lançando imediatamente uma patch para corrigir a vulnerabilidade em versões mais recentes do aplicativo Instagram em todas as plataformas.

 

Os especialistas da Check Point ressaltam as principais dicas para proteção:

 

• Atualizar o software: é imprescindível atualizar regularmente os aplicativos móveis e os sistemas operacionais. Dezenas de patches de segurança são lançados nessas atualizações semanalmente, e a falha na instalação pode ter um impacto grave na privacidade do usuário.

 

• Monitorar as permissões: prestar mais atenção aos aplicativos que solicitam permissões. É muito conveniente para os desenvolvedores de aplicativos solicitarem permissões excessivas aos usuários, e é muito cômodo para os usuários clicarem em “sim” sem ler.

 

• Permitir o acesso sem pensar duas vezes: É importante pensar alguns segundos antes de aprovar algo. Se não for necessário para o funcionamento do aplicativo, é melhor não autorizar o acesso.

 

Impacto de vulnerabilidades móveis à rede corporativa

 

Os dispositivos móveis são a porta de entrada para violações de rede, expondo dados corporativos confidenciais a risco. As vulnerabilidades e ciberameaças nesses dispositivos e nos aplicativos neles instalados podem levar riscos à rede corporativa. Adotar produtos como o SandBlast Mobile (SBM) da Check Point possibilita às empresas a visibilidade total dos riscos móveis, com recursos avançados de prevenção de ameaças. Com a maior taxa de detecção de ameaças do mercado, os usuários do SBM ficam protegidos contra malware de dia zero, phishing, ameaças móveis (MTD), ataques Man-in-the-Middle, exploits de sistema operacional, impede que os dispositivos enviem dados para botnets e que acessem dados corporativos.

 

Destaques

Colunas & Blogs

Conteúdos Relacionados

Security Report | Overview

EUA e Reino Unido movem sanções conjuntas em resposta a ciberataques chineses

Especialistas da Check Point Software analisaram os ataques do grupo de hackers APT31, afiliado ao Estado chinês, contra os governos...
Security Report | Overview

GSI publica resolução do primeiro encontro do Comitê de Cibersegurança

O Comitê organizado e administrado pelo GSI definiu tanto o regimento interno do conselho quanto dividiu as atribuições dos Grupos...
Security Report | Overview

Avanço das deepfakes movimenta indústria em favor da detecção com IA embarcada

Segundo pesquisa da Kaspersky, o número de golpes por fake news de produções digitais teve um aumento de 900% em...
Security Report | Overview

Ministério da Ciência e Tecnologia amplia programa de incentivo a pesquisas sobre IA

Iniciativa vai acelerar projetos nas áreas de Saúde, Agronegócio, Gestão Corporativa, Finanças, TI e Telecom; Energia e Sismologia, Segurança, Defesa...