Falha no Instagram permitia alterar privacidade do perfil

Brecha demorou seis meses para ser corrigida.
Problema podia ser explorado por página web maliciosa.

 

Instagram tem falha de privacidade solucionada
pelo Facebook(Foto: Reprodução/Facebook)

Uma brecha de segurança foi corrigida na rede social de fotos Instagram, que pertence ao Facebook. A vulnerabilidade foi informada ao Facebook em 23 de agosto de 2013, mas só foi corrigida no início deste mês, no dia 4 de fevereiro. Detalhes da falha, que permitia alterar a privacidade do perfil - para público ou privado - foram publicados nesta segunda-feira (10) pelo especialista em segurança espanhol Christian Lopez.
A configuração que altera o perfil para público ou privado foi encontrada por Lopez no aplicativo do Instagram para celulares. Quando essa alteração é feita, o Instagram envia uma solicitação simples ao servidor. Essa solicitação não era autenticada, ou seja, não verificava se o usuário estava mesmo no site do Instagram ao fazê-la, e podia ser imitada por qualquer site na web.
Dessa forma, caso um usuário logado no Instagram acessasse uma página maliciosa, a página poderia alterar essa configuração do perfil, fazendo a solicitação em nome do usuário e sem o seu consentimento.  Embora o site malicioso possa fazer essa alteração, em nenhum momento ele obtém acesso à senha ou aos "cookies" que dão acesso ao perfil do Instagram. O ataque fica limitado às opções que não são autenticadas.
Brechas desse tipo levam o nome técnico de "cross-site request forgery" (CSRF). Lopez teria ganho uma recompensa em dinheiro por ter informado o Facebook sobre o problema, segundo uma reportagem da "Forbes".
Alterar a configuração para pública poderia permitir a um atacante baixar as fotos particulares armazenadas em um perfil do Instagram. De acordo com o Facebook, nenhum usuário teria sido atacado por meio da brecha no período em que ela ficou aberta.
Apesar de a configuração da privacidade do perfil estar disponível na interface para celulares, a exploração pode ocorrer no PC porque o Instagram não diferencia as sessões para celulares e computadores. No entanto, como usuários em celulares normalmente acessam o Instagram pelo aplicativo e não estão logados no site pelo navegador do aparelho, a falha seria mais difícil de ser explorada diretamente no celular.
Para evitar problemas de compatibilidade com versões antigas do app, o Instagram adicionou um filtro que impede a parte do site para celular de ser acessada por um usuário logado por um navegador no PC.