Uma vulnerabilidade no aplicativo do Instagram poderia permitir que invasores assumissem total controle da conta de usuários da rede social, executando ações sem o seu consentimento. Se explorada, a falha também poderia transformar o celular da vítima em um dispositivo de espionagem, já que fornece acesso à localização, microfone, câmera, armazenamento e contatos. A brecha de segurança, detectada nas versões para Android e iOS, já foi corrigida pelo Facebook. Por isso, é importante atualizar o aplicativo. 

A falha foi descoberta há alguns meses por pesquisadores da Check Point, empresa de cibersegurança israelense, mas só foi revelada na última quinta-feira (24). De acordo com a empresa, eles quiseram garantir que os usuários já teriam atualizado seus aplicativos, reduzindo possíveis riscos. O Instagram não acredita que o bug tenha feito vítimas. O posicionamento completo pode ser lido no final do texto. 

A falha, considerada crítica pela Check Point, reside no Mozjpeg, decodificador JPEG de código aberto que é usado pelo Instagram para fazer upload de fotos no perfil do usuário. Se explorada com sucesso, a brecha permitiria, a partir de uma única imagem, a execução de códigos remotos para realizar qualquer ação prevista na lista de permissões do aplicativo do Instagram. Isso inclui acesso à localização, microfone, câmera, armazenamento e contatos, por exemplo.

Para invadir o celular da vítima, o atacante precisaria apenas enviar uma imagem para o e-mail, WhatsApp ou qualquer outra plataforma de troca de mídias do usuário alvejado. Ao abrir o arquivo malicioso e, em seguida, o aplicativo do Instagram, a pessoa ativaria, sem saber, a falha de segurança, concedendo ao invasor acesso total ao dispositivo.

Segundo Yaniv Balmas, chefe de pesquisas da Check Point, a descoberta da vulnerabilidade aponta para a importância de revisar as permissões concedidas aos aplicativos. "Essa mensagem ‘aplicativo está pedindo permissão’ pode parecer um incômodo e é fácil apenas clicar em 'Sim'. Mas, na prática, esta é uma das linhas de defesa mais fortes que todos têm contra ciberataques móveis, e eu aconselho a todos a parar um minuto e pensar se realmente querem dar a um determinado aplicativo o acesso à minha câmera, ao meu microfone e assim por diante", afirma.

O que dizem os envolvidos

Os pesquisadores da Check Point comunicaram a descoberta da falha de segurança ao Facebook, empresa responsável pelo Instagram. A companhia de Mark Zuckerberg reparou a brecha, lançando um patch para corrigir a vulnerabilidade em edições mais recentes (posteriores à versão 128.0.0.26.128) do aplicativo do Instagram em todas as plataformas de software mobile.

Em nota, a Check Point confirmou a correção da falha e encorajou os usuários a atualizar para a versão mais recente do app do Instagram. "O patch para esta vulnerabilidade já estava disponível seis meses antes desta publicação [sobre a vulnerabilidade], para garantir que os usuários do Instagram atualizassem seus aplicativos, reduzindo assim o risco de exploração dessa vulnerabilidade. Nós encorajamos todos os usuários do Instagram a garantirem que estão usando a versão mais recente do aplicativo Instagram e a atualizar se alguma nova versão estiver disponível."

O Instagram ressaltou a rápida reparação da brecha e criticou a abordagem da Check Point, que classificou como "exagerada". “O relatório da Check Point dá importância exagerada a um bug que foi rapidamente corrigido e que não temos motivos para acreditar que tenha afetado alguém. Em sua própria investigação, a Check Point não conseguiu explorar o bug com sucesso.”

Como se proteger

A vulnerabilidade em questão já foi corrigida pelo Instagram, logo não é preciso se preocupar com possíveis tentativas de exploração da brecha. Ainda assim, é necessário manter o aplicativo da rede social sempre atualizado, já que os updates contêm correções de bugs de desempenho e de falhas de segurança.

Também é importante prestar atenção às permissões solicitadas pelos aplicativos. Em vez de conceder autorização imediata, o usuário deve avaliar a necessidade da concessão. Se não for algo necessário para o funcionamento do app, é melhor não permitir o acesso.

Com informações de TechTudo