Os pesquisadores da Check Point Research (CPR), braço de Inteligência em Ameaças da Check Point Software Technologies Ltd, detectaram uma vulnerabilidade crítica de Remote Code Execution (RCE) no Instagram, uma das redes sociais mais populares de compartilhamento de fotos e vídeos com mais de 1 bilhão de usuários em todo o mundo. Eles analisaram a segurança do aplicativo nos sistemas operacionais Android e iOS, tendo verificado que, se fosse explorada, a vulnerabilidade possibilitaria ao atacante realizar qualquer ação que envolvesse a lista de permissões.
Essa falha de segurança permitiria que o atacante assumisse o controle da conta da vítima no Instagram e executasse ações sem o seu consentimento, como ler conversas, excluir ou postar fotos e manipular as informações do perfil da conta. Além disso, transformaria o dispositivo em um meio para espionar a vítima, uma vez que seria capaz de acessar os contatos, dados de localização, câmera e arquivos armazenados no dispositivo móvel, entre outros. Dessa forma, o atacante poderia até mesmo bloquear o acesso à conta pela vítima, o que levaria a problemas como roubo de identidade ou perda de dados.
Os pesquisadores da Check Point descobriram a vulnerabilidade no Mozjpeg, um decodificador JPEG de código aberto que é usado pelo Instagram para fazer upload de imagens no perfil do usuário. Sendo assim, os pesquisadores estão alertando os desenvolvedores de aplicativos sobre os riscos potenciais do uso de bibliotecas de código de terceiros em seus aplicativos sem verificar se há falhas de segurança.
Isto porque a maioria dos desenvolvedores modernos não escreve o aplicativo inteiro por conta própria e, em vez disso, eles usam bibliotecas de terceiros para lidar com tarefas comuns (e muitas vezes complicadas), como processamento de imagem, processamento de som, conectividade de rede e assim por diante. Isso libera os desenvolvedores para lidar apenas com as tarefas de codificação que representam a lógica de negócios principal do aplicativo.