Check Point odhalil kritickou zranitelnost v Instagramu, populární aplikaci pro sdílení fotografií a videí, která má více než 1 miliardu uživatelů. Zranitelnost by útočníkům umožnila převzít kontrolu nad instagramovým účtem oběti a využít napadený telefon ke špionáži.
Jak útok funguje? Ke zneužití zranitelnosti by útočníkům stačil jediný škodlivý obrázek.
1. Útočník odešle obrázek na e-mail uživatele, WhatsApp nebo jinou komunikační platformu.
2. Obrázek se uloží do mobilního telefonu uživatele. To lze provést automaticky nebo ručně v závislosti na způsobu odeslání, typu mobilního telefonu a konfiguraci. Obrázek odeslaný například přes WhatsApp se ve výchozím nastavení automaticky uloží na telefon na všech platformách.
3. Oběť otevře obrázek v aplikaci Instagram, čímž dojde ke zneužití zranitelnosti, cože útočníkům umožní převzít kontrolu nad účtem a telefonem.
Zranitelnost by útočníkům poskytla plnou kontrolu nad aplikací Instagram a umožnila bez souhlasu uživatele například číst zprávy, mazat nebo zveřejňovat fotografie nebo manipulovat profilem. Aplikace Instagram má navíc poměrně rozsáhlá oprávnění, takže by útočníci mohli zranitelnost zneužít i k přístupu ke kontaktům v telefonu, informacím o poloze, fotoaparátu a souborům uloženým v zařízení. Telefon by se tak dal zneužít ke špionáži.
Výzkumný tým Check Point Research objevil zranitelnost v Mozjpeg, open source JPEG dekodéru, který Instagram používá k nahrávání obrázků do aplikace. Check Point proto upozorňuje vývojáře aplikací na potenciální rizika spojená s knihovnami kódů třetích stran. Vývojáři aplikací často šetří čas a pro běžné úkony, jako je zpracování obrazu a zvuku nebo připojení k síti, používají kódy třetích stran. Kód třetí strany ovšem často obsahuje zranitelnosti, které mohou vést k bezpečnostním chybám v aplikaci, jako je tomu i v případě Instagramu.
Check Point odpovědně informoval Facebook, tedy majitele Instagramu. Facebook vydal záplatu pro novější verze aplikace Instagram na všech platformách. Aby bylo zajištěno, že aplikace uživatelů budou záplatované, čekal Check Point se zveřejněním analýzy 6 měsíců.