Os pesquisadores da Check Point Research, braço de Inteligência em Ameaças da Check Point® Software Technologies Ltd, detectaram uma vulnerabilidade crítica de Remote Code Execution no Instagram — rede social que conta com mais de 1 bilhão de usuários em todo o mundo.
Após analisar a segurança do aplicativo nos sistemas operacionais Android e iOS, a CPR constatou que a brecha possibilitaria realizar qualquer ação que envolvesse a lista de permissões, inclusive assumir o controle da conta do usuário no Instagram e executar, a sua revelia, ações como ler conversas, excluir ou postar fotos e manipular as informações do perfil.
O cibercriminoso
poderia ainda transformar o dispositivo em uma ferramenta para espionar a
vítima, uma vez que teria total acesso aos contatos, dados de localização,
câmera e arquivos armazenados no dispositivo móvel, entre outros. Seria
possível, inclusive, bloquear o acesso à conta, o que poderia acarretar diversos
problemas ao usuário, da perda de dados ao roubo de identidade.
Os pesquisadores descobriram a vulnerabilidade no Mozjpeg, um decodificador JPEG de código aberto que é utilizado pelo Instagram no upload de imagens no perfil do usuário, e vêm alertando os desenvolvedores de aplicativos sobre os riscos potenciais do uso de bibliotecas de código de terceiros em seus aplicativos sem a prévia verificação de possíveis falhas de segurança.
Observação: Atualmente, em vez de escrever o aplicativo
do zero, a maioria dos desenvolvedores utiliza bibliotecas de terceiros para
lidar com tarefas comuns (e muitas vezes complicadas), como processamento de
imagem e/ou de som, conectividade de rede e assim por diante, podendo, assim dedicar-se
apenas a tarefas e codificação que representam a lógica de negócios principal
do aplicativo.
No caso da vulnerabilidade detectada pela Check Point no Instagram, os especialistas inferiram que bastaria uma única imagem maliciosa para o cibercriminoso atingir seu objetivo em três etapas, a saber:
1) Enviar uma imagem para o email da vítima, WhatsApp ou outra plataforma de troca de mídia social;
2) Salvar a imagem no smartphone do usuário de forma automática ou manual, dependendo do método de envio, tipo de celular e configurações (uma imagem enviada via WhatsApp, por exemplo, pode ser salva no dispositivo automaticamente por padrão);
3) Aguardar a vítima acessar o Instagram e abrir a
imagem maliciosa, que dispararia a falha de segurança no app, ativando-a
automaticamente, o que daria ao criminoso total acesso ao dispositivo móvel.
Os resultados
da pesquisa levaram a duas conclusões importantes: 1) bibliotecas de código de
terceiros podem ser uma ameaça séria; 2) os usuários precisam verificar as
permissões que os apps solicitam durante sua instalação no dispositivo.
A CPR recomenda
enfaticamente aos desenvolvedores que examinem as bibliotecas de código de
terceiros utilizadas na construção de suas infraestruturas de aplicativos e
garantam que sua integração seja feita de maneira adequada. Aos usuários, os
pesquisares recomendam evitar simplesmente clicar em “SIM” na mensagem em que o
aplicativo pede permissão para acessar isso ou aquilo, até porque essa é a
linha de defesa mais eficaz contra ciberataques móveis.
Ao
instalar um app e deparar com a mensagem em questão, pare e pense se faz
realmente sentido conceder ao programa acesso a sua câmera, seu microfone,
sua lista de contatos, e assim por diante.
Observação: O Febook resolveu o problema, que descreveu como Integer Overflow leading to Heap Buffer Overflow CVE-2020-1895 (estouro de número inteiro que leva a estouro de buffer...), através de um patch que fecha a brecha de segurança em versões mais recentes do Instagram em todas as plataformas.
Nunca é demais enfatizar a importância de atualizar regularmente os aplicativos móveis e os
sistemas operacionais. Dezenas de patches de segurança são lançados nessas
atualizações semanalmente, e a falha na instalação pode ter um impacto grave na
privacidade do usuário.
Igualmente
importante é monitorar as permissões. É muito conveniente para os
desenvolvedores de aplicativos solicitarem permissões excessivas aos usuários,
e é muito cômodo para os usuários clicarem em "SIM" sem ler ou sem
parar para pensar por alguns instantes se deve ou não conceder esta a permissão.
Observação:
Na dúvida, o melhor é não autorizar. Se o app não funcionar, você sempre pode rever essa ação.
Já se autorizar de pronto e depois se arrepender, você pode até reverter a configuração, mas aí pode ser
tarde demais. Nesse cenário, só o tempo dirá se houve consequências e quais foram as consequência de uma autorização desnecessária/indevida. Como dizia o Conselheiro Acácio (personagem do romance O PRIMO BASÍLIO, de EÇA DE QUEIROZ). "o problema com as consequências é que elas sempre vêm depois".
