Výzkumníci z týmu Check Point Research nedávno odhalili závažnou chybu v jedné z nejpoužívanějších mobilních aplikací. Instagram obsahoval zranitelnost, které mohli zneužít útočníci a převzít kompletní kontrolu nad instagramovým účtem oběti. K útoku přitom stačilo odeslat obyčejně se tvářící obrázek. Chyby už jsou nyní opraveny a tento typ útoku by nemělo být možné znovu provést.
Cesta útočníků do mobilu oběti byla tentokrát přes obyčejně vyhlížející škodlivý obrázek. Pokud by si ho uživatel uložil do telefonu z e-mailu nebo třeba z komunikace na WhatsApp a následně otevřel v aplikaci Instagram, hackeři by získali plný přístup k instagramovým zprávám a obrázkům, což by jim umožnilo na účtu oběti zveřejňovat nebo mazat obrázky podle libosti. Stejně tak by měli přístup ke kontaktům, fotoaparátu a údajům o poloze napadeného telefonu.
Hrozba tkví v kódech třetích stran
Útočníci mohli zneužít toho, že aplikace Instagram má poměrně rozsáhlá oprávnění, která po instalaci vyžaduje. Patří mezi ně přístup ke kontaktům v telefonu, informace o poloze, přístup k fotoaparátu a souborům uloženým v zařízení. Telefon by se tak teoreticky dal zneužít ke špionáži. Na méně sofistikované „škodolibé“ úrovni by se uživateli zablokoval Instagram, dokud by ho nepřeinstaloval.
Takhle vypadala konkrétní chyba v kódu
V tomto konkrétním případě byla zranitelnost v Mozjpeg, open source JPEG dekodéru, který Instagram používá k nahrávání obrázků do aplikace. Check Point proto upozornil vývojáře aplikací na potenciální rizika spojená s knihovnami kódů třetích stran. Vývojáři aplikací často šetří čas a pro běžné úkony, jako je zpracování obrazu a zvuku nebo připojení k síti, používají kódy třetích stran. Ten ale může často obsahovat zranitelnosti, které mohou vést k bezpečnostním chybám v aplikaci.
Check Point po svém zjištění ihned informoval Facebook, coby majitele aplikace Instagram. Facebook tento problém okamžitě uznal a vydal záplatu pro novější verze aplikace Instagram na všech platformách. Aby bylo zajištěno, že aplikace uživatelů budou záplatované, čekal Check Point se zveřejněním této analýzy půl roku. Nyní už je tedy Instagram ohledně tohoto typu napadení odolný.
Bezpečnostní doporučení pro uživatele:
- Aktualizujte! Aktualizujte! Aktualizujte! Pravidelně aktualizujte mobilní aplikace a mobilní operační systém. V aktualizacích jsou každý týden desítky důležitých bezpečnostních oprav a každá může vážně ovlivnit vaše soukromí.
- Sledujte žádosti o oprávnění. Věnujte pozornost, jaká oprávnění aplikace žádají. Pro vývojáře aplikací je velmi snadné jednoduše požádat uživatele o více oprávnění, než potřebují, a uživatelé mohou jednoduše kliknout na „povolit“, aniž by si to pořádně rozmysleli.
- Než něco schválíte, dobře se nad tím zamyslete. Položte si otázku: „Opravdu chci této aplikaci poskytnout tato oprávnění, opravdu to potřebuji?“ Pokud je odpověď ne, žádost o oprávnění pro aplikaci odmítněte.
