Aplicativo do Instagram para Android não conta com uma criptografia completa

O Facebook não está criptografando completamente o tráfego de dados que flui para dentro e fora do Instagram, seu famoso serviço móvel de compartilhamento de fotos. A empresa diz que planeja

O Facebook não está criptografando completamente o tráfego de dados que flui para dentro e fora do Instagram, seu famoso serviço móvel de compartilhamento de fotos. A empresa diz que planeja implementar criptografia completa no futuro. Isso significa, que quando você utiliza o aplicativo do Instagram no seu celular, um potencial cibercriminosos conectado à mesma rede que você pode monitorar as fotos que você está vendo, acessar os cookies da sessão e ter acesso ao seu nome de usuário e senha.

O Facebook ao aceitar os riscos das comunicações, o Instagram se comunica em HTTP e não HTTPS

Mazen Ahmed, especialista em Segurança da Informação da Defensive-Sec, escreveu sobre a falta de criptografia das comunicações do Instagram em seu blog pessoal no último sábado. Segundo explica no blog, Ahmed avaliou a versão Android do aplicativo Instagram usando uma ferramenta de espionagem chamada WireShark.

Essencialmente, WireShark tem a capacidade de monitorar o tráfego de dados na rede a que tenha acesso. Se a informação está criptografada, o pacote de dados será impossível de ler. Mas, se não está criptografado, a informação aparecerá no formato texto plano. Ahmed notou que o Instagram estava criptografando só uma pparte do tráfego no seu aplicativo para dispositivos móveis.

Em uma entrevista por email com o Kaspersky Daily, Ahmed afirmou que seguiu com suas investigações na versão do aplicativo para Android. No entanto, ele está convencido de que o mesmo tipo de ataque poderia ocorrer na versão iOS, já que ambos os apps dependem do mesmo servidor.

Ahmed escreveu também no seu post que eu já informou  ao Facebook sobre o incenveniente e que os representante da empresa notificaram que “estavam cientes” da criptografia incompleta presente no Instagram. Veja a resposta na íntegra:

“O Facebook tem discutido longamente este problema e planeja mobilizar tudo no site do Instagram para HTTPS. No entanto, não há data definida para a mudança. No momento, o Facebook aceita o risco das comunicações do Instagram em HTTP e não HTTPS. Consideramos este um problema conhecido e estamos trabalhando para uma solução no futuro”.

O Kaspersky Daily também tentou se comunicar com o Facebook para confirmar as informações de Ahmed, mas inda não tivemos resposta.

Se você está preocupado com seu Instagram ser espionado, a melhor de se manter a salvo, diz Ahmed, é evitar a utilização do serviço do Instagram no Android, ao menos até que o Facebook anuncie o lançamento da criptografia completa. Eu recomenda também que os usuários utilizem, neste período, a versão web do Instagram, que suporta HTTPS mais completo.

Tradução: Juliana Costa Santos Dias

Dicas
Inscreva-se para receber nossos destaques em seu e-mail