Facebook remove bug do Instagram permitindo que invasores espionem usuários de aplicativos

 O Instagram tem uma grande vulnerabilidade, rastreado CVE-2020-1895 e emitido uma pontuação CVSS de 7,8, o que pode levar à execução de acesso remoto e sequestro de câmera SmartPhones, microfone e muito mais.

A Check Point descreveu esta vulnerabilidade como uma “vulnerabilidade crítica no processamento de imagens do Instagram”, permitindo que os invasores invadam o telefone das vítimas apenas enviando a ela uma imagem especialmente criada por meio de uma plataforma de mensagens comum ou por e-mail.

O Facebook, o proprietário da plataforma Instagram, explicou esta vulnerabilidade como:

“Um grande estouro de heap pode ocorrer no Instagram para Android ao tentar carregar uma imagem com dimensões especialmente criadas. Isso afeta as versões anteriores a 128.0.0.26.128 ”.

O problema era como o Instagram lida com bibliotecas de terceiros usadas para processamento de imagens. O Instagram utilizou indevidamente o Mozijped, um decodificador JPEG de código aberto, para lidar com o upload de imagens.

 De acordo com o Check Point, o arquivo de imagem criado contém uma carga útil que é capaz de aproveitar a extensa lista de permissões do aplicativo em dispositivos Android e conceder acesso a todos os recursos do telefone que supostamente têm permissão para o Instagram.

 A Check Point disse que, ao explorar esta vulnerabilidade, os hackers podem obter acesso a contatos telefônicos, câmeras, dados de localização / GPS e arquivos armazenados localmente e levar a problemas de privacidade, segurança e roubo de identidade. Além disso, pode ser usado para prejudicar os usuários por meio do próprio aplicativo Insta, já que os invasores obtêm o controle total sobre o aplicativo. Eles podem excluir postagens, fotos sem permissão, alterar configurações de contas e interceptar mensagens diretas e lê-las.

“Infelizmente, também é provável que outros bugs permaneçam ou sejam introduzidos no futuro. Como tal, o teste fuzz contínuo deste e de código de análise de formato de mídia semelhante, tanto em bibliotecas de sistema operacional quanto em bibliotecas de terceiros, é absolutamente necessário. Também recomendamos reduzir a superfície de ataque, restringindo o receptor a um pequeno número de formatos de imagem suportados ”.

A vulnerabilidade foi detectada no início deste ano e já era hora antes que o Fabebook corrigisse esse problema. Portanto, este aplicativo de mídia social está seguro agora. O motivo da exploração pública agora é porque os pesquisadores de segurança cibernética queriam dar tempo ao Instagram para atualizar seus aplicativos.

Os especialistas também recomendam que os usuários usem a versão mais recente do aplicativo e continuem procurando a atualização sempre no futuro.