A empresa israelense de segurança cibernética Check Point relatou na quinta-feira que foi capaz de localizar uma falha de segurança significativa em Instagram que permite que um terceiro assuma o controle do telefone pessoal do usuário. Um aplicativo de mídia social extremamente popular com cerca de um bilhão de usuários mensais, o possível dano que uma violação de segurança – um #InstaHack – poderia causar é enorme. A Check Point divulgou a notícia após informar a empresa para dar tempo de consertá-lo, um comunicado à imprensa sobre nome da empresa relatado. Como o hack foi possível? Um terceiro poderia ter enviado à vítima um arquivo de imagem que, ao ser aberto por e-mail ou via WhatsApp, assumiria o controle do telefone por meio do aplicativo Instagram. Isso teria dado ao hacker controle sobre a conta da vítima. Muitas pessoas usam seus smartphones para controlar sua presença nas redes sociais, então o hacker também pode obter controle sobre a localização, gravação, câmera e lista de contatos no telefone. Isso pode parecer rebuscado, mas, para fins de argumentação, imagine que o relato da mídia social sobre o filho ou filha de uma figura importante no cenário mundial seja hackeado dessa maneira. Se a vítima estiver incluída nas funções oficiais do estado, o hacker pode registrar tudo o que ocorre dentro do alcance da orelha. Mesmo que o hack não seja motivado por intriga política, considere a possibilidade de uma parte externa assumir o controle das opções de pagamento em seu telefone e ajudando-se com seus recursos financeiros. O Instagram é um tanto único porque, ao contrário de outros aplicativos em um telefone comum, ele tem permissões extensas. Enquanto um aplicativo de namoro pode ter acesso apenas à sua câmera e um aplicativo de mapa apenas à sua localização, o Instagram tem acesso a tudo. É por isso que hackear isso colocaria mais dados pessoais em risco do que hackear outros aplicativos. O que a Check Point descobriu é que através do Remote Control Execution (RCE) é possível transformar o Instagram em um caminho, transformando o telefone em uma ferramenta de espionagem. Por que foi hackear mesmo possível? Porque o Instagram usou uma biblioteca de código aberto chamada Mozjpeg para processar alguns de seus arquivos. Isso não é incomum: a maioria dos desenvolvedores usa essas bibliotecas para lidar com a função do aplicativo que estão criando. Nesse caso, Mozjpeg foi usado para abrir arquivos JPEG. O que um hacker poderia fazer em tal situação? Qualquer coisa que o proprietário da conta possa fazer – desde postar fotos até fingir ser o usuário em comunicações eletrônicas. A violação de segurança foi corrigida entre o momento da descoberta e o momento deste relatório. No entanto, a Check Point incentiva os usuários do aplicativo a baixar a versão mais recente do Instagram para garantir que estejam protegidos. A empresa israelense de tecnologia também oferece um serviço chamado SandBlast Mobile (SBM), que pode fornecer aos usuários uma divulgação completa de todos os riscos aos quais seus telefones estão expostos.
O Facebook, dono do Instagram, afirmou que a Check Point “exalta muito” a violação que foi encontrada e apontou que a empresa israelense foi “incapaz de explorar o bug com sucesso”.
“Consertamos o problema”, disse o gigante da mídia social em resposta ao relatório da empresa israelense, “e não temos razão para acreditar que alguém foi impactado por isso.
Fonte: https://www.jpost.com/jpost-tech/instahack-instagram-security-risk-revealed-is-your-phone-safe-643396