Vulnerabilidade do Instagram permitiu que invasores sequestrassem aplicativo e espionassem usuários

Postado em 2021-07-28
News
Vulnerabilidade do Instagram permitiu que invasores sequestrassem aplicativo e espionassem usuários

2021-07-28

Pesquisadores da empresa de segurança cibernética, Check Point, detalharam uma grande vulnerabilidade no Instagram que poderia ter permitido que hackers assumissem contas com apenas um arquivo de imagem malicioso. A vulnerabilidade de execução remota de código (RCE), que afetou os aplicativos do Instagram para Android e iOS , foi descoberta no início deste ano e foi corrigida após ser relatada pela Check Point.

De acordo com os pesquisadores, a falha permitiu que os invasores realizassem ações em nome do usuário dentro do aplicativo Instagram, incluindo espionar mensagens privadas da vítima e postar ou excluir fotos. Como se isso não fosse ruim o suficiente, também permitiu que hackers executassem códigos arbitrários no dispositivo. Os invasores também podem ter aproveitado a ampla gama de permissões para potencialmente transformar os telefones celulares das pessoas em ferramentas de espionagem, disse o relatório.

Descrevendo a falha, os pesquisadores disseram que foi um estouro de buffer de heap que ocorreu quando o Instagram tentou carregar uma imagem maior acreditando que ela era menor. “Quando a imagem é salva e aberta no aplicativo Instagram, o exploit daria ao hacker acesso total às mensagens e imagens da vítima no Instagram, permitindo que eles postassem ou excluíssem imagens à vontade, além de dar acesso aos contatos do telefone, câmera e dados de localização ”, disseram em um post oficial do blog.

Rastreado como CVE-2020-1895 , a falha é descrita pelo Facebook como um ‘estouro de número inteiro levando a estouro de buffer de pilha’. Afeta as versões do Instagram anteriores a 128.0.0.26.128 no Android. A empresa lançou um patch para remediar o problema nas versões mais recentes do aplicativo Instagram em todas as plataformas, portanto, todos os usuários devem atualizar para a versão mais recente para garantir sua privacidade. Você pode ler os detalhes técnicos completosdesta pesquisa no site oficial da Check Point.