Vulnerabilidade no Instagram coloca em risco a segurança de milhões de utilizadores
24 Setembro, 2020Investigadores da Check Point analisaram a segurança da aplicação móvel do Instagram, para ambos os sistemas operativos Android e iOS, e descobriram uma vulnerabilidade crítica de Remote Code Execution (RCE), que, sendo explorada, permitirá ao ciberatacante a realização de qualquer acção que se incluísse na ampla gama de permissões de que dispõe a rede social, colocando em risco a privacidade de milhões de utilizadores.
O crescente espaço e importância que os dispositivos móveis têm ganho nas nossas vidas trouxe aos seus utilizadores, essencialmente, aspectos positivos, como a maior facilidade em manter contacto com famílias e entes queridos ou a possibilidade de trabalhar a partir de qualquer lado. Contudo, o número imenso de funcionalidades que um dispositivo móvel como o smartphone oferece facilita igualmente o trabalho dos cibercriminosos que, implementando com sucesso operações maliciosas, conseguirão não só roubar dados e informações sensíveis, como recolher a localização dos utilizadores, ouvir as suas conversas e aceder às suas mensagens. A porta de entrada a que recorrem os cibercriminosos para alcançar os dispositivos passa, frequentemente, por aplicações, pela grande extensão de permissões de que estas gozam. O Instagram é exemplo de uma das aplicações que conta com maior extensão de dados pessoais a que acede (câmara, microfone, contactos, localização, entre outros). Sendo ainda uma plataforma amplamente utilizada a nível global – com quase mil milhões de utilizadores ativos por mês e mais de 100 milhões de fotos partilhadas todos os dias – o Instagram torna-se, assim, um meio bastante apetecível aos cibercriminosos.
As características do potencial ataque
Aproveitando-se desta vulnerabilidade, o atacante poderia simplesmente enviar uma imagem à sua vítima via email, Whatsapp ou qualquer outra plataforma que o permita. O ataque tem início quando o utilizador guarda a imagem no seu dispositivo e abre, posteriormente, o Instagram, concedendo acesso total a qualquer recurso a que a app tenha permissão para aceder. Entre estes recursos, constam contactos, armazenamento do dispositivo, serviços de localização e a câmara. O dispositivo transforma-se assim, neste cenário, na ferramenta perfeita de espionagem, uma vez que permite a realização de ações maliciosas sem o conhecimento do seu alvo.
Perante esta descoberta, a Check Point cumpriu o seu dever de informar a equipa do Facebook e Instagram, que descreveu a vulnerabilidade como uma "Integer Overflow leading to Heap Buffer Overflow", dispondo-se prontamente a remediar o problema, através da emissão de um patch para as versões mais recentes da aplicação dirigida a todos os sistemas operativos. Sobre a operação de análise conduzida pela Check Point, uma das porta-vozes do Facebook afirmou: "Resolvemos o assunto e não denotámos qualquer evidência de abuso. Estamos agradecidos à Check Point por contribuir para a segurança do Instagram".
Vulnerabilidade no Instagram prontamente resolvida pelo Facebook
O patch para esta vulnerabilidade foi disponibilizado seis meses antes das conclusões deste estudo serem divulgadas, no sentido de dar à maioria dos utilizadores a oportunidade de actualizar a aplicação do Instagram e, assim, mitigar os riscos introduzidos por esta falha de segurança. Como tal, se não tem por habito actualizar as suas aplicações, este é o momento certo para o fazer.
Já deixou o seu like na nossa página do Facebook, no, Threads, do Instagram, do BlueSky e do X? Receba toda a informação em primeira mão. Siga-nos também no Google Notícias, basta seleccionar-nos entre os seus favoritos clicando na estrela.
Joel Pinto
Fundador do Noticias e Tecnologia, e este foi o seu segundo projeto online, depois de vários anos ligado a um portal voltado para o sistema Android, onde também foi um dos seus fundadores.
