Falha no Instagram permitia que hackers espionassem celular dos usuários
Uma brecha no Instagram permitia que hackers acessassem celulares e contas das vítimas na rede social a partir de apenas uma foto. A falha, descoberta pela Check Point, liberava aos criminosos o acesso aos contatos, câmeras, geolocalização e arquivos armazenados no aparelho.
De acordo com a Check Point, a falha vem de uma brecha de execução remota de códigos. Isso ocorreria a partir de uma imagem maliciosa enviada por meio de aplicativos de mensagens, como o WhatsApp. Após o usuário salvar essa imagem no aparelho, o ataque poderia ocorrer assim que ele abrisse o Instagram.
A pesquisa afirma que o usuário que tivesse com uma dessas imagens maliciosas no aparelho conseguiria ver, inclusive, o aplicativo tentando carregar a imagem automaticamente ao entrar na rede social. A falha foi enviada pela Check Point à rede social em fevereiro desse ano.
Em contato com a Forbes, o Facebook, dono do Instagram, contestou que o ataque seja automático, alegando que um usuário precisaria enviar a imagem para o Instagram para travar o aplicativo e abri-lo para um ataque.
Como era feito?
A Check Point localizou a brecha no Mozjipeg, um descodificador de código para o formato de imagens JPEG utilizado pelo Instagram. Com esse decodificador, a rede social prepara imagens para a publicação no perfil do usuário.
Segundo a pesquisa, o problema se dava a partir de um "estouro de buffer", que era causado pelo envio de uma imagem de tamanho grande que engana o aplicativo, fazendo-o acreditar que é muito menor.
"Ao introduzir uma imagem especialmente criada para o aplicativo, pode-se 'roubar' o fluxo de execução do aplicativo e basicamente fazer com que ele faça o que quiser com o mesmo contexto e permissões. Como o Instagram tem muitas permissões (câmera, GPS, contatos,..), isso significa que o invasor pode ter acesso a esses dados e pode praticamente espionar qualquer um usando o Instagram", afirmou à revista Forbes Yaniv Balmas, da Check Point.
De acordo com a Forbes, o problema específico já foi corrigido pelo Facebook, com atualizações lançadas para centenas de milhões de usuários de Android e iOS da rede social de fotos.
Facebook minimiza relatório
Em contato com Tilt, o Facebook afirmou que "o relatório da Check Point dá importância exagerada a um bug que foi rapidamente corrigido e que não temos motivos para acreditar que tenha afetado alguém".
Além disso, a rede social alega que "em sua própria investigação, a Check Point não conseguiu explorar o bug com sucesso".
ID: {{comments.info.id}}
URL: {{comments.info.url}}
Ocorreu um erro ao carregar os comentários.
Por favor, tente novamente mais tarde.
{{comments.total}} Comentário
{{comments.total}} Comentários
Seja o primeiro a comentar
Essa discussão está encerrada
Não é possivel enviar novos comentários.
Essa área é exclusiva para você, assinante, ler e comentar.
Só assinantes do UOL podem comentar
Ainda não é assinante? Assine já.
Se você já é assinante do UOL, faça seu login.
O autor da mensagem, e não o UOL, é o responsável pelo comentário. Reserve um tempo para ler as Regras de Uso para comentários.