Topo

Falha no Instagram permitia que hackers espionassem celular dos usuários

Foto no celular do usuário poderia forçar Instagram a ceder dados a hackers - Arte UOL
Foto no celular do usuário poderia forçar Instagram a ceder dados a hackers Imagem: Arte UOL

Felipe Oliveira

Colaboração para Tilt

25/09/2020 14h45Atualizada em 25/09/2020 16h59

Uma brecha no Instagram permitia que hackers acessassem celulares e contas das vítimas na rede social a partir de apenas uma foto. A falha, descoberta pela Check Point, liberava aos criminosos o acesso aos contatos, câmeras, geolocalização e arquivos armazenados no aparelho.

De acordo com a Check Point, a falha vem de uma brecha de execução remota de códigos. Isso ocorreria a partir de uma imagem maliciosa enviada por meio de aplicativos de mensagens, como o WhatsApp. Após o usuário salvar essa imagem no aparelho, o ataque poderia ocorrer assim que ele abrisse o Instagram.

A pesquisa afirma que o usuário que tivesse com uma dessas imagens maliciosas no aparelho conseguiria ver, inclusive, o aplicativo tentando carregar a imagem automaticamente ao entrar na rede social. A falha foi enviada pela Check Point à rede social em fevereiro desse ano.

Em contato com a Forbes, o Facebook, dono do Instagram, contestou que o ataque seja automático, alegando que um usuário precisaria enviar a imagem para o Instagram para travar o aplicativo e abri-lo para um ataque.

Como era feito?

A Check Point localizou a brecha no Mozjipeg, um descodificador de código para o formato de imagens JPEG utilizado pelo Instagram. Com esse decodificador, a rede social prepara imagens para a publicação no perfil do usuário.

Segundo a pesquisa, o problema se dava a partir de um "estouro de buffer", que era causado pelo envio de uma imagem de tamanho grande que engana o aplicativo, fazendo-o acreditar que é muito menor.

"Ao introduzir uma imagem especialmente criada para o aplicativo, pode-se 'roubar' o fluxo de execução do aplicativo e basicamente fazer com que ele faça o que quiser com o mesmo contexto e permissões. Como o Instagram tem muitas permissões (câmera, GPS, contatos,..), isso significa que o invasor pode ter acesso a esses dados e pode praticamente espionar qualquer um usando o Instagram", afirmou à revista Forbes Yaniv Balmas, da Check Point.

De acordo com a Forbes, o problema específico já foi corrigido pelo Facebook, com atualizações lançadas para centenas de milhões de usuários de Android e iOS da rede social de fotos.

Facebook minimiza relatório

Em contato com Tilt, o Facebook afirmou que "o relatório da Check Point dá importância exagerada a um bug que foi rapidamente corrigido e que não temos motivos para acreditar que tenha afetado alguém".

Além disso, a rede social alega que "em sua própria investigação, a Check Point não conseguiu explorar o bug com sucesso".