Aktualizujcie Instagrama na swoich smartfonach. Aplikacja posiadała krytyczną lukę
Instagram do aktualnie najpopularniejsza aplikacja do publikacji zdjęć i filmów w internecie. Miesięcznie korzysta z niej ponad miliard aktywnych użytkowników. A jak się okazuje, spora część z nich była zagrożona. Aplikacja posiadała krytyczną lukę w wersji na Androida oraz iOS.
24.09.2020 15:16
Zespół z Check Point wykrył w aplikacji Instagram krytyczną podatność. Znajdowała się w systemie przetwarzania obrazów i umożliwiała hakerom wykorzystanie złośliwego pliku do przejęcia konta, a następnie przekształcenie smartfona ofiary w narzędzie szpiegowskie. Lukę można było wykorzystać w wersji aplikacji starszej niż 128.0.0.26.128. Jeśli posiadasz niższy numer, należy natychmiast aktualizować Instagrama.
Podatność w aplikacji pozwalała na tzw. zdalne wykonanie kodu (RCE), co przekładało się na możliwość dokonania przez hakerów dowolnej czynności w aplikacji oraz wykorzystania jej uprawnień. Aby uzyskać dostęp do urządzenia, wystarczyło, że cyberprzestępca wysłał swojej specjalnie przygotowane zdjęcie. Najlepiej przez komunikator, który automatycznie pobierze obraz.
Plik zawierał złośliwy kod, który następnie przekazywał hakerowi pełny dostęp do wiadomości oraz obrazów ofiary. Co więcej, dzięki rozbudowanym uprawnieniom, atakujący mógł uzyskać dostęp również do innych funkcji urządzeń użytkowników – kontaktów, aplikacji aparatu czy danych lokalizacyjnych.
Luka w Instagramie na Androida– co spowodowało zagrożenie?
Jak podaje Check Point, za wykryte zagrożenie odpowiedzialna była luka w Mozjpeg, czyli dekoderze plików JPEG typu open source, który jest używany przez Instagram do przesyłania obrazów do aplikacji. Szczegółowy opis luki możecie znaleźć na blogu eksperckim firmy Check Point.
Po jej identyfikacji, analitycy firmy Check Point poinformowali o swoich odkryciach Facebooka, będącego obecnym właścicielem aplikacji. Po ostatecznym potwierdzeniu problemu, wydana została poprawka bezpieczeństwa dla Instagrama, naprawiająca lukę w nowszych wersjach aplikacji na wszystkich urządzeniach.
"Biblioteki kodów stron trzecich (w tym wypadku open-source’owy Mozjpeg – przyp. red.) mogą stanowić poważne zagrożenie. Wzywamy programistów do sprawdzania zewnętrznych bibliotek, których używają do tworzenia infrastruktury aplikacji, by upewnić się, że ich integracja jest przeprowadzana prawidłowo. Kody stron trzecich są używane praktycznie w każdej aplikacji i bardzo łatwo jest przeoczyć osadzone w nich zagrożenia" – mówi Yaniv Balmas, szef działu badań cybernetycznych w Check Point Software Technologies.