• Existe um jogo no Facebook em que os jogadores que falham em responder corretamente às adivinhas colocadas, são levados a mudar a sua foto de perfil pela de uma girafa, como um sinal inofensivo de que erraram.
• Os cibercriminosos tentaram explorar isto, "envenenando" as pesquisas por imagens no Google com imagens "armadilhadas" de girafas.
• Estes ficheiros JPEG armadilhados, instalam malware com uma diversidade de efeitos colaterais, incluindo o roubo do seu username e password.
• Por isso, não mude a foto do seu perfil pela de uma girafa.

Existe o suficiente para tornar o assunto minimamente credível: os utilizadores podem conhecer o jogo que utiliza imagens de girafas; os resultados dos motores de busca podem ser manipulados pelos cibercriminosos; e o passado está repleto de bugs de software conhecidos que permitiram armadilhar ficheiros JPEG para distribuírem malware.

Porque motivo não é verdade?

É um completo conjunto de incongruências, e isso pode ser comprovado da seguinte forma...

Em 2004, os media deram grande cobertura a uma vulnerabilidade em ficheiros JPEG no próprio Windows. Esta falha de segurança podia, de facto, permitir a colocação de imagens armadilhadas em páginas Web para injetar malware nos computadores, da mesma forma que ficheiros DOC e PDF armadilhados são hoje em dia regularmente utilizados para o mesmo fim.

As correções da Microsoft para essa vulnerabilidade acabaram com a atualização de segurança MS04-028, mas a preocupação naquela altura foi compreensível, já que o formato JPEG era, e ainda é, um dos tipos de imagem mais comuns na Internet.

De facto, ao se investigar online por histórias com 9 anos sobre a vulnerabilidade MS04-028, encontramos artigos como este:

Um vírus que explora a vulnerabilidade recentemente descoberta em JPEG foi detectado em circulação no programa de instant-messaging da America Online...

"Já foi feito no passado, mas com código HTML em vez de JPEG", explica Johannes Ullrich, chief technical officer do SANS Internet Storm Center, a unidade de investigação de segurança online da organização. "É um vírus, mas não se distribuiu de forma vasta. Apenas identificámos dois casos".

...O código também instala uma backdoor que pode proporcionar aos hackers o controlo remoto do computador infectado. O especialista em antivírus Mikko Hypponen da F-Secure avisou na Quarta-feira que a falha em JPEGs também pode contornar as tecnologias antivírus.

E sabe que mais?

Segundo o website Hoax-Slayer (que se encontra ativo desde 2003), este novo hoax "conta" praticamente a mesma história com algumas alterações menores em detalhes, e algumas identificações deliberadamente incorretas dos "especialistas" citados (assinaladas a negrito):

Um vírus que explora a vulnerabilidade recentemente descoberta em JPEG foi detectado em circulação em imagens de girafas no google.

"Já foi feito no passado, mas com código HTML em vez de JPEG", explica James Thompson, chief technical officer do SANS Internet Storm Center, a unidade de investigação de segurança online da organização. "É um vírus, mas não se distribuiu de forma vasta. Apenas identificámos dois casos".

...O código também instala uma backdoor que pode proporcionar aos hackers o controlo remoto do computador infectado. O especialista em antivírus Fred Hypponen da F-Secure avisou na Quarta-feira que a falha em JPEGs também pode danificar o seu Iphone se o carregar no seu computador.

Johannes Ulrich, citado em 2004, ainda é atualmente o CTO do Internet Storm Center, e não James Thompson.

E apesar do conhecido especialista em antivírus da F-Secure ser de facto, hoje como em 2004, um determinado Sr. Hypponen, o seu primeiro nome é Mikko, e não Fred.

Adicionando um toque moderno

A introdução do alerta sobre carregar o seu iPhone, adiciona à "velha" história um toque mais moderno, e tira partido do risco potencial recentemente exposto sobre iPhones (entretanto corrigido) carregados por carregadores armadilhados.

Este novo hoax aparentemente acrescenta um detalhe (falso):

Por defeito, o software antivírus apenas analisa ficheiros.exe. E mesmo que os utilizadores modifiquem as configurações do seu software antivírus, as extensões dos ficheiros JPEG podem ser manipuladas para evitar a detecção.

Isto também não é verdade.

Todos os antivírus com funcionalidades de análise on-access (em tempo real) - o componente que impede a infeção de vírus através do bloqueio de ficheiros antes de serem executados - geralmente identifica os ficheiros pelo seu conteúdo, o que significa que a extensão é praticamente irrelevante.

E se alterar as configurações do seu antivírus para análises a pedido, poderá simplesmente optar por analisar todos os ficheiros, o que se sobrepõe a qualquer configuração para analisar apenas determinadas extensões.

Como se vê, existem inúmeros sinais de que esta "história da girafa" é totalmente falsa.

Se fosse verdade, e existisse uma vulnerabilidade conhecida que permitisse a ficheiros JPEG injetarem malware no seu computador, então os cibercriminosos não se dariam a tanto trabalho para envenenar as pesquisas por imagens de girafas no Google, na esperança de que pretenda mudar a sua foto de perfil no Facebook. Bastaria colocarem quaisquer imagens JPEG armadilhadas em páginas Web aparentemente inocentes, e infetá-lo durante a sua navegação regular. Faz sentido ?

O que fazer?

Alguns conselhos:

• Se é alguém que cobre e escreve artigos sobre segurança informática, verifique os factos antes de divulgar alertas de segurança: os falsos alarmes apenas diminuem a capacidade coletiva de reagirmos quando de facto existe um problema.
• Se é um leitor curioso sobre o tema da segurança e dos alertas que vão surgindo, não divulgue este hoax, mesmo que julgue ser irónico: os falsos alarmes apenas diminuem a capacidade colectiva de reagirmos quando de facto existe um problema.

A propósito de hoaxes, não deixe de ler o artigo dedicado ao Halloween, uma época precisamente propícia à circulação de hoaxes.