O que aconteceu?
Há uma semana, o grupo de pesquisa de segurança cibernética Check Point descobriu um bug que poderia permitir que hackers assumissem os celulares dos usuários explorando o Instagram em telefones Android. Eles poderiam conseguir isso simplesmente enviando uma imagem para o telefone da vítima. Tudo o que a vítima tinha que fazer era salvar a imagem e depois abrir o Instagram. Depois de violar o dispositivo, os cibercriminosos poderiam ter tomado sua conta de mídia social, injetado código malicioso em seu dispositivo, monitorado suas atividades ou travado seu aplicativo completamente. Eles também podem ter acesso a quaisquer recursos no telefone pré-permitidos pelo Instagram. Esse bug afetou todas as versões do Instagram lançadas antes do dia 10 de fevereiro de 2020. Felizmente, o Facebook conseguiu liberar uma atualização e mitigar o risco.
No entanto, o próprio Facebook é um grande risco de privacidade para os usuários do Instagram. Recentemente, a empresa foi processada por espionar seus usuários usando câmeras do iPhone depois que os usuários notaram a câmera ligada quando eles rolaram pelo feed do Instagram. O Facebook alegou que era um bug e prometeu corrigi-lo. Mas dada a tendência da empresa para a acumulação de dados, é fácil imaginar mais bugs semelhantes ocorrendo no futuro.
Como é feito o hack do Instagram?
A falha explorou o MozJPEG, um compressor de arquivos de imagem integrado ao aplicativo instagram. Quando o compressor tentou editar a imagem maliciosa, o bug permitiria que o cibercriminoso assumisse a memória alocada à imagem e substituísse os dados. Como resultado, eles podem corromper o monte, a estrutura de dados semelhante a uma árvore, e afetar a execução do código. Então um intruso pode assumir seu dispositivo.
Essa situação ilustra a importância de integrar adequadamente bibliotecas de terceiros, pois elas podem se tornar um ponto vulnerável de outra forma.
Como evitar ameaças futuras
Evitar um ataque tão sutil é difícil, mas aqui estão algumas medidas preventivas:
Atualize constantemente seu aplicativo. O Facebook emitiu uma correção logo após ouvir sobre o problema. Responder às atualizações rapidamente pode proteger-se de ameaças semelhantes no futuro;
Gerencie as permissões do aplicativo. Certifique-se sempre de confiar no aplicativo antes de permitir que ele controle seu dispositivo ou acesse seus dados. Mesmo com aplicativos de sua confiança, considere dar-lhes menos acesso do que eles estão pedindo. Eles nem sempre precisam de tudo para operar;
Exclua o Instagram e vá para um aplicativo mais seguro e privado como o Avance Network.
