Instagram

Stačilo poslat jediný obrázek a hackeři vás mohli připravit o účet na Instagramu!

  • Facebook opravil kritickou zranitelnost v Instagramu
  • Hackeři mohli pomocí škodlivého obrázku převzít kontrolu nad účtem a telefonem
  • Chyba už byla naštěstí opravena

Výzkumný btým společnosti Check Point odhalil kritickou zranitelnost v Instagramu, populární aplikaci pro sdílení fotografií a videí, která má více než miliardu uživatelů. Chyba by útočníkům umožnila převzít kontrolu nad instagramovým účtem oběti a využít napadený telefon ke špionáži. Stačilo poslat jediný škodlivý obrázek.

Když by byl obrázek uložen a otevřen v aplikaci Instagram, hackeři by získali plný přístup k instagramovým zprávám a obrázkům oběti, což by jim umožnilo na účtu oběti zveřejňovat nebo mazat obrázky dle libosti, stejně jako přístup ke kontaktům, fotoaparátu a údajům o poloze napadeného telefonu.

Jak útok fungoval?

Ke zneužití zranitelnosti by útočníkům stačil jediný škodlivý obrázek. Check Point popsal útok ve třech krocích:

  1. Útočník odešle obrázek na e-mail uživatele, WhatsApp nebo jinou komunikační platformu.
  2. Obrázek se uloží do mobilního telefonu uživatele. To lze provést automaticky nebo ručně v závislosti na způsobu odeslání, typu mobilního telefonu a konfiguraci. Obrázek odeslaný například přes WhatsApp se ve výchozím nastavení automaticky uloží na telefon na všech platformách.
  3. Oběť otevře obrázek v aplikaci Instagram, čímž dojde ke zneužití zranitelnosti, což útočníkům umožní převzít kontrolu nad účtem a telefonem.
Instagram | foto: Ilustrační

Hrozby v kódech třetích stran

Výzkumný tým objevil zranitelnost v Mozjpeg, open source JPEG dekodéru, který Instagram používá k nahrávání obrázků do aplikace. Check Point proto upozorňuje vývojáře aplikací na potenciální rizika spojená s knihovnami kódů třetích stran.

Vývojáři aplikací často šetří čas a pro běžné úkony, jako je zpracování obrazu a zvuku nebo připojení k síti, používají kódy třetích stran. Kód třetí strany ovšem často obsahuje zranitelnosti, které mohou vést k bezpečnostním chybám v aplikaci, jako je tomu i v případě Instagramu.

Instagram | foto: Ilustrační

Facebook aplikaci záplatoval

Check Point po nalezení chyby okamžitě informoval Facebook, tedy majitele Instagramu. Ten tento problém okamžitě uznal a vydal záplatu aplikace Instagram na všech platformách. Aby bylo zajištěno, že aplikace uživatelů budou záplatované, čekal Check Point se zveřejněním analýzy půl roku.

Co dělat, aby váše data zůstala v bezpečí?

  1. Aktualizujte! Pravidelně aktualizujte mobilní aplikace a mobilní operační systém. V aktualizacích jsou každý týden desítky důležitých bezpečnostních oprav a každá může vážně ovlivnit vaše soukromí.
  2. Sledujte žádosti o oprávnění. Věnujte pozornost, jaká oprávnění aplikace žádají. Pro vývojáře aplikací je velmi snadné jednoduše požádat uživatele o více oprávnění, než potřebují, a uživatelé mohou jednoduše kliknout na „povolit“, aniž by si to pořádně rozmysleli.
  3. Dobře se nad tím zamyslete. Než něco schválíte, pořádně se nad tím zamyslete a zeptejte se: „Opravdu chci této aplikaci poskytnout tato oprávnění, opravdu to potřebuji?“ Pokud je odpověď ne, žádost neschvalte.

 

Total
1
Shares