Instagram corrige bug que comprometia conta e dispositivo das vítimas

Instagram corrige bug que comprometia conta e dispositivo das vítimas

Uma falha grave de segurana do Instagram comprometeu a conta e dispositivos de acesso de diversos usurios da rede social. Descoberto pela empresa de segurana ciberntica Check Point, o bug, originado por uma imagem modificada, permitia que invasores assumissem o controle total da conta da vtima e, at mesmo, de seus celulares. O erro, no entanto, j foi corrigido.

Para o sucesso do ataque, o cibercriminoso precisava apenas enviar ao alvo uma imagem especialmente criada para a invaso. O encaminhamento podia ser feito por e-mail, torpedo SMS ou qualquer outro aplicativo de mensagens. O intuito inicial se restringia ao recebimento da foto pela vtima, j que os celulares costumam salvar as mdias automaticamente.

Com a imagem salva na galeria, bastava a vtima utilizar o Instagram de modo que o aplicativo tivesse acesso s mdias (seja adicionando uma publicao, postando um stories ou mesmo enviando uma foto para algum). Pronto. A ao era suficiente para que o bug fosse acionado, permitindo o acesso do hacker ao perfil e ao dispositivo usado pela vtima.

ReproduFalha exps os mais de um bilho de usurios do Instagram. Foto:Luke van Zyl/Unsplash

Como funcionava o bug

Nesta quinta-feira (24), a Check Point postou em seu blog um relatrio tcnico detalhando a explorao da vulnerabilidade encontrada no Instagram.

Basicamente, a falha era causada por um buffer overflow (transbordo de buffer), que ocorria quando o Instagram tentava carregar uma imagem maior acreditando que ela fosse menor. Mas o ponto fraco foi um valor constante codificado, adicionado pelos prprios desenvolvedores da plataforma para permitir a integrao ao Mozjpeg — codificador de cdigo aberto para melhorar a compactao de imagens JPEG.

Os pesquisadores constataram que essa funo de manipulao de tamanhos de imagem sob anlises apresentava um erro que causava problemas de alocao de memria durante o processo de compresso. Ou seja, a imagem utilizada para o ataque “confundia” propositalmente o aplicativo para que a conta e o dispositivo ficassem vulnerveis.

“Tecnicamente falando, o problema em si era um estouro de buffer, causado pelo envio de uma imagem de tamanho grande, enquanto enganava o aplicativo fazendo-o acreditar que era muito menor”, comunicou a Check Point ao site BleepingComputer.

Reprodu

Cdigo do Instagram que permitia o buffer overflow durante a compactao de imagens. Foto: Check Point/Divulgao

Aps o acionamento do bug, o invasor era capaz de “roubar” o fluxo de execuo do Instagram, por meio da execuo de cdigos dentro de seus contextos e permisses. Com isso, o cibercriminoso era capaz de controlar a conta da rede social da vtima, bem como acessar os contatos, armazenamento, localizao, cmera e microfone de seu dispositivo de acesso.

Problema resolvido

Aps a divulgao da descoberta feita pela Check Point, o Facebook, dono do Instagram, informou que j realizou a correo do problema.

Alm disso, ao reportar sobre o reparo da vulnerabilidade, um representante do Facebook disse ao Check Point que no observou nenhuma evidncia de abuso derivada do bug.

GarotoProdigio

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *