Najpopularniejsza na świecie aplikacja do publikowania zdjęć – Instagram, posiadała poważną lukę bezpieczeństwa. Krytyczna podatność w systemie przetwarzania obrazów na Instagramie mogła umożliwić hakerom wykorzystanie złośliwego obrazu do przejęcia konta i przekształcenia telefonu ofiary w narzędzie szpiegowskie – ujawniają badacze z firmy Check Point.
Eksperci bezpieczeństwa z Check Pointa zidentyfikowali krytyczną lukę w najpopularniejszej na świecie aplikacji do udostępniania zdjęć i filmów. Podatność w aplikacji pozwalała na tzw. zdalne wykonanie kodu (RCE), co przekładało się na możliwość dokonania przez hakerów dowolnej czynności w aplikacji oraz wykorzystania jej uprawnień, zagrażając prywatności milionom użytkowników na całym świecie!
Aby uzyskać dostęp do urządzenia swojej ofiary za pomocą luki w Instagramie, cyberprzestępcy musieliby przygotować specjalne złośliwe zdjęcie oraz przesłać je swojej ofierze mailem lub przez komunikator – najlepiej taki, który automatycznie pobiera obrazy. Po otwarciu Instagrama i wyświetleniu ściągniętego zdjęcia, złośliwy kod wykorzystuje podatność, zapewniając hakerowi pełny dostęp do wiadomości oraz obrazów ofiary. Co więcej, dzięki rozbudowanym uprawnieniom, atakujący mógłby uzyskać dostęp również do innych funkcji urządzeń użytkowników – kontaktów, aplikacji aparatu czy danych lokalizacyjnych!
Winny dekoder jpeg
Za wykryte przez Check Pointa zagrożenie odpowiedzialna była luka w Mozjpeg, czyli dekoderze plików JPEG typu open source, który jest używany przez Instagram do przesyłania obrazów do aplikacji.
Po jej identyfikacji, analitycy firmy Check Point poinformowali o swoich odkryciach Facebooka, będącego obecnym właścicielem aplikacji. Po ostatecznym potwierdzeniu problemu, wydana została poprawka bezpieczeństwa dla Instagrama, naprawiająca lukę w nowszych wersjach aplikacji na wszystkich urządzeniach.
– Po przeprowadzeniu analiz pojawiły się przed nami dwa wnioski: Po pierwsze, biblioteki kodów stron trzecich (w tym wypadku open-source’owy Mozjpeg – przyp. red.) mogą stanowić poważne zagrożenie. Wzywamy programistów do sprawdzania zewnętrznych bibliotek, których używają do tworzenia infrastruktury aplikacji, by upewnić się, że ich integracja jest przeprowadzana prawidłowo. Kody stron trzecich są używane praktycznie w każdej aplikacji i bardzo łatwo jest przeoczyć osadzone w nich zagrożenia. – mówi Yaniv Balmas, szef działu badań cybernetycznych w Check Point Software Technologies.
– Po drugie, użytkownicy powinni poświęcić trochę czasu, aby sprawdzać uprawnienia aplikacji na swoich urządzeniach. Wiadomość „aplikacja prosi o pozwolenie” może wydawać się uciążliwa i łatwo jest bez zastanowienia kliknąć „Tak”, jednak w praktyce jest to jedna z najsilniejszych dostępnych linii obrony przed mobilnymi cyberatakami. Stąd radzę poświęcić chwilę i za stanowić się, czy naprawdę chcemy dać danej aplikacji dostęp do kamery, mikrofonu itp. – dodaje Balmas.
By mieć pewność, że wystarczająca liczba użytkowników Instagrama zaktualizowała swoje aplikacje, badacze Check Pointa przez pół roku wstrzymywali się z publikacją swoich ustaleń. Instagram jest szóstą najpopularniejszą na świecie platformą społecznościową z przeszło miliardem użytkowników. W Polsce liczbę korzystających z aplikacji szacuje się na ok. 7,5 miliona, z czego blisko 60% stanowią kobiety.
