Como esta foto ‘maliciosa’ pode hackear sua conta do Instagram

Views: 443
0 0
Read Time:6 Minute, 7 Second

Um aviso para os usuários do Instagram hoje, com um novo relatório de segurança alegando que o aplicativo de um usuário poderia ter sido hackeado por nada mais do que uma única foto texted para seu iPhone ou smartphone Android. E embora o problema específico tenha sido corrigido pelo Facebook, com atualizações emitidas para centenas de milhões de usuários de Android e iOS do Instagram, os perigos de baixar imagens e outros arquivos com mensagens para nossos telefones permanecem.

De acordo com a equipe de pesquisa da Check Point,“a vulnerabilidade crítica… teria permitido que um invasor realizasse qualquer ação de escolha dentro do Instagram – ler DMs, excluir ou postar conteúdo, manipular detalhes da conta, bem como a capacidade de transformar o telefone da vítima em uma ferramenta de espionagem para acessar a localização gps, contatos telefônicos e câmera.”

“O invasor só precisaria de uma única imagem maliciosa para executar o ataque”, diz Check Point, e que ao salvar a imagem, a arma cibernética seria preparada. Assim que o Instagram foi aberto, o ataque poderia acontecer. Dada a gravidade da divulgação, a empresa cibernética diz que esperou seis meses antes de publicar seu relatório. “Queríamos garantir que o patch chegasse à maioria dos telefones lá fora e os usuários estejam protegidos”, disse Yaniv Balmas, da Check Point, “caso contrário, as consequências de tal publicação podem ser ruins — para dizer o mínimo”.

O Facebook confirmou que a vulnerabilidade foi divulgada e corrigida, mas me disse que “o relatório da Check Point exagera um bug, que corrigimos rapidamente e não temos razão para acreditar que impactou alguém”. De acordo com a Check Point, eles puxaram sua prova de conceito antes de realmente hackear qualquer conta. O Facebook diz que isso significa que “através de sua própria investigação, a Check Point não foi capaz de explorar esse bug com sucesso”.

Check Point contesta completamente isso. “Ao introduzir uma imagem especialmente trabalhada no aplicativo”, explicou Balmas, “pode-se ‘roubar’ o fluxo de execução do aplicativo e basicamente fazê-lo fazer o que quiser com o mesmo contexto e permissões que o próprio aplicativo. Como o Instagram tem muitas permissões (câmera, GPS, contatos, …), isso significa que o invasor pode ter acesso a elas e pode praticamente espionar alguém usando o Instagram.”

A Check Point diz que fez mais pesquisas sobre seu POC depois que ele caiu no Instagram e, em sua opinião, abriu-o para atacar. “Acreditamos que isso prova o ponto”, disse Balmas. “No final do dia, não estamos desenvolvendo ferramentas de ataque.”

Em resposta à alegação do Facebook de que o problema foi exagerado, Ekram Ahmed, da Check Point, me disse que “apoiamos firmemente nossa publicação, que acreditamos que demonstra claramente como a vulnerabilidade é realizada. Cada detalhe foi totalmente e transparentemente divulgado ao Facebook. Informamos pela primeira vez o Facebook em fevereiro de 2020 — depois novamente em abril e setembro; todas as instâncias foram anteriores à publicação. Agora é a única vez que o Facebook alegou que a vulnerabilidade não é um RCE [execução remota de código].”

O problema exposto pela Check Point está na implementação do Mozjpeg, uma biblioteca de código de código de código de código de código de código de código de código de código de código de código de código de terceiros enterrada no Instagram, que analisa as imagens do JPEG dentro do aplicativo. “O problema foi um estouro de buffer”, disse Balmas, “causado pelo envio de uma imagem com um tamanho grande que engana o aplicativo a acreditar que é muito menor. Isso causa uma sobregravação e nos permite fazer nossa mágica.”

A Check Point diz que abrir o Instagram depois que a imagem maliciosa foi salva em um telefone desencadearia a exploração. “Ok, então quando você tem uma foto no seu telefone, no segundo que você abrir o Instagram o aplicativo tentará automaticamente carregar essas imagens para você. Você pode vê-los se você apertar o botão de postagem no aplicativo (na parte inferior da tela). Então é necessário que um usuário abra o Instagram para ser explorado, nada mais.”

O Facebook tem uma visão diferente, argumentando que este é um chamado “ataque de clique zero”, alegando que um usuário precisaria carregar a imagem no Instagram para travar o aplicativo e abri-la para um ataque. Apesar de dizer que o problema foi “exagerado”, o Facebook também apontou que o pior caso seria a conta de um único usuário sendo sequestrada, e não um ataque mais amplo à plataforma, parecendo contradizer a negação do problema. Sem surpresa, a Check Point concorda com este último ponto.

A Check Point também descartou a refutação do Facebook quanto à natureza da vulnerabilidade. Segundo Ahmed, “a imagem maliciosa no cenário que descrevemos não precisa ser enviada manualmente para o Instagram. Isso se deve à funcionalidade ‘snippet’ incorporada no Instagram, na qual as fotos da sua biblioteca de mídia móvel são automaticamente analisadas e apresentadas assim que o aplicativo do Instagram é iniciado.”

Ahmed me disse que a Check Point produziu um relatório técnico completo sobre a exploração, “compartilhamos este relatório com o Facebook, juntamente com o fato de que acreditamos que essa vulnerabilidade é explorável, e não recebemos nenhuma rejeição por essas alegações até hoje. Respeitamos o Facebook, mas estamos 100% atrás das descobertas e das reivindicações em nossa publicação.”

Alegações de que o Instagram poderia ter sido hackeado por nada mais do que uma foto são um grande problema para o Facebook, dada a base de usuários de mais de bilhões e os problemas de segurança e privacidade de dados que têm atormentado o Facebook nos últimos dois anos. Houve relatos de contas conhecidas do Instagram sendo supostamente hackeadas — é uma questão sensível e muitas vezes ofusca a publicação de imagens privadas.

No início deste ano, entrei em contato entre o Facebook e uma conhecida celebridade da televisão iraniana que alegou que sua conta no Instagram havia sido hackeada por atores estatais. Na época, o Facebook garantiu e recuperou a conta sequestrada em mais de uma ocasião, pois parecia ter sido repetidamente hackeada. A gigante da tecnologia não seria atraída para compartilhar detalhes de sua investigação sobre como o compromisso havia ocorrido. Dadas as sensibilidades políticas, não publicamos detalhes do ataque ou da identidade da celebridade.

“É um ótimo lugar para encontrar vulnerabilidades”, disse Balmas sobre vulnerabilidades de imagem, alertando que “não vejo isso mudando tão cedo”. A dependência de bibliotecas de terceiros e a vasta gama de tipos de imagens que um aplicativo precisa lidar tornam este um rico campo de caça para atacantes. Dito isto, este é um ataque sofisticado para realizar. “Não é trivial encontrar e tornar esse bug utilizável”, de acordo com Balmas, “mas uma vez que você faz o ataque pode ser feito com um clique de um botão. Esses tipos de ataques geralmente são realizados por atores do Estado-nação ou equivalentes.”

Os conselhos do Facebook sobre como manter sua conta do Instagram segura podem ser encontrados aqui. No caso de você pensar que sua conta pode ter sido hackeada, eles também têm alguns conselhos mais específicos. Em termos simples, os usuários devem “escolher uma senha forte”, disseram-me, com a rodada de regras usuais nunca reutilizando senhas em todos os serviços. O Facebook também aconselhou que os usuários devem “revogar o acesso a aplicativos de terceiros, pois podem expor informações de login”.

FONTE: FORBES

POSTS RELACIONADOS