Os pesquisadores da Check Point detectaram uma vulnerabilidade crítica de Remote Code Execution (RCE) no Instagram, uma das redes sociais mais populares de compartilhamento de fotos e vídeos com mais de 1 bilhão de usuários em todo o mundo. Eles analisaram a segurança do aplicativo nos sistemas operacionais Android e iOS, tendo verificado que, se fosse explorada, a vulnerabilidade possibilitaria ao atacante realizar qualquer ação que envolvesse a lista de permissões.
Essa falha de segurança permitiria que o atacante assumisse o controle da conta da vítima no Instagram e executasse ações sem o seu consentimento, como ler conversas, excluir ou postar fotos e manipular as informações do perfil da conta. Além disso, transformaria o dispositivo em um meio para espionar a vítima, uma vez que seria capaz de acessar os contatos, dados de localização, câmera e arquivos armazenados no dispositivo móvel, entre outros. Dessa forma, o atacante poderia até mesmo bloquear o acesso à conta pela vítima, o que levaria a problemas como roubo de identidade ou perda de dados.
Os pesquisadores da Check Point descobriram a vulnerabilidade no Mozjpeg, um decodificador JPEG de código aberto que é usado pelo Instagram para fazer upload de imagens no perfil do usuário. Sendo assim, os pesquisadores estão alertando os desenvolvedores de aplicativos sobre os riscos potenciais do uso de bibliotecas de código de terceiros em seus aplicativos sem verificar se há falhas de segurança.
Isto porque a maioria dos desenvolvedores modernos não escreve o aplicativo inteiro por conta própria e, em vez disso, eles usam bibliotecas de terceiros para lidar com tarefas comuns (e muitas vezes complicadas), como processamento de imagem, processamento de som, conectividade de rede e assim por diante. Isso libera os desenvolvedores para lidar apenas com as tarefas de codificação que representam a lógica de negócios principal do aplicativo.
No caso da vulnerabilidade detectada pela Check Point no Instagram, os especialistas apontaram que o atacante só precisaria de uma única imagem maliciosa para atingir seu objetivo em três etapas:
• O atacante enviaria uma imagem para o e-mail da vítima, WhatsApp ou outra plataforma de troca de mídia social.
• A imagem seria salva no smartphone do usuário de forma automática ou manual, dependendo do método de envio, tipo de celular e configurações. Uma imagem enviada via WhatsApp, por exemplo, pode ser salva no dispositivo automaticamente por padrão.
• A vítima abriria o aplicativo Instagram e a imagem maliciosa, a qual dispararia a falha de segurança no aplicativo ativando-a automaticamente e isso daria ao atacante acesso total ao dispositivo móvel.
“Após essa pesquisa, surgiram dois tópicos importantes. Em primeiro lugar, as bibliotecas de código de terceiros podem ser uma ameaça séria. Por isso, recomendamos fortemente que os desenvolvedores examinem as bibliotecas de código de terceiros que usam para construir suas infraestruturas de aplicativos e garantam que sua integração seja feita de maneira adequada”, explica Yaniv Balmas, chefe de pesquisas da Check Point.
“Em segundo lugar, as pessoas precisam ter tempo para verificar as permissões que um aplicativo tem em seu dispositivo. Essa mensagem ‘aplicativo está pedindo permissão’ pode parecer um incômodo e é fácil apenas clicar em ‘Sim’. Mas, na prática, esta é uma das linhas de defesa mais fortes que todos têm contra ciberataques móveis, e eu aconselho a todos a parar um minuto e pensar se realmente querem dar a um determinado aplicativo o acesso à minha câmera, ao meu microfone e assim por diante”, completa Balmas.
Dicas de proteção contra essa vulnerabilidade
Os pesquisadores da Check Point divulgaram de forma responsável suas descobertas ao Facebook, que adquiriu o Instagram em abril de 2012. O Facebook resolveu o problema , descrevendo a vulnerabilidade como um “estouro de número inteiro levando a estouro de buffer (“Integer Overflow leading to Heap Buffer Overflow” CVE-2020-1895)”, e lançando imediatamente uma patch para corrigir a vulnerabilidade em versões mais recentes do aplicativo Instagram em todas as plataformas.
Os especialistas da Check Point ressaltam as principais dicas para proteção:
• Atualizar o software: é imprescindível atualizar regularmente os aplicativos móveis e os sistemas operacionais. Dezenas de patches de segurança são lançados nessas atualizações semanalmente, e a falha na instalação pode ter um impacto grave na privacidade do usuário.
• Monitorar as permissões: prestar mais atenção aos aplicativos que solicitam permissões. É muito conveniente para os desenvolvedores de aplicativos solicitarem permissões excessivas aos usuários, e é muito cômodo para os usuários clicarem em “sim” sem ler.
• Permitir o acesso sem pensar duas vezes: É importante pensar alguns segundos antes de aprovar algo. Se não for necessário para o funcionamento do aplicativo, é melhor não autorizar o acesso.
Impacto de vulnerabilidades móveis à rede corporativa
Os dispositivos móveis são a porta de entrada para violações de rede, expondo dados corporativos confidenciais a risco. As vulnerabilidades e ciberameaças nesses dispositivos e nos aplicativos neles instalados podem levar riscos à rede corporativa. Adotar produtos como o SandBlast Mobile (SBM) da Check Point possibilita às empresas a visibilidade total dos riscos móveis, com recursos avançados de prevenção de ameaças. Com a maior taxa de detecção de ameaças do mercado, os usuários do SBM ficam protegidos contra malware de dia zero, phishing, ameaças móveis (MTD), ataques Man-in-the-Middle, exploits de sistema operacional, impede que os dispositivos enviem dados para botnets e que acessem dados corporativos.