Zapisujecie zdjęcia otrzymane w aplikacjach? Jedna decyzja może pozbawić was dostępu do konta

27 września 2020 3 minuty czytania

Komunikatory czy portale społecznościowe to doskonałe miejsce do dzielenia się zdjęciami. Podczas przeglądania takich aplikacji nieustannie znajdujemy fotki, które nas zachwycają, bądź memy, które śmieszą. Aby je udostępnić, najprostszym sposobem jest zapisanie ich na urządzeniu… i tutaj pojawia się problem. Eksperci do spraw bezpieczeństwa w sieci z laboratorium Check Point ostrzegają przed zapisywaniem plików graficznych z nieznanych źródeł na swoich smartfonach. Dlaczego? Okazuje się, że nawet przy ich pomocy cyberprzestępcy są w stanie przejąć kontrolę nad kontem użytkownika lub nawet całym urządzeniem, z jakiego korzystamy.

Czym może skończyć się zapisanie zdjęcia z internetu? Na przykład przejęciem konta na Instagramie

Jak wynika z raportu opublikowanego przez firmę Check Point, do przejęcia konta na Instagramie czy nawet całego urządzenia użytkownika mogło wystarczyć jedynie odpowiednio przygotowane zdjęcie. Eksperci ostrzegają, że przy jego pomocy cyberprzestępcy mogli uzyskać dostęp do praktycznie wszystkich funkcji Instagrama: nie było zatem problemu z czytaniem prywatnych wiadomości, dodawaniem czy edytowaniem postów lub śledzeniem użytkownika przy pomocy lokalizacji GPS i aparatu. Błąd przez Check Point wykryty został ponad pół roku temu i firma z publikacją czekała na poprawki dokonywane przez inżynierów Facebooka. Na czym polegała jednak ta niezwykle groźna usterka?

Czytaj także: Twitter walczy z dezinformacją. W aplikacji pojawił się nowy komunikat.

Okazuje się, że atak możliwy był dzięki problemowi z Mozjpeg, bibliotece z otwartym kodem źródłowym, z jakiej korzysta Instagram, by przygotowywać zdjęcia wyświetlane w aplikacji. W celu uzyskania dostępu do danych użytkownika atakujący musieli przepełnić bufor programu, wgrywając bardzo duże zdjęcie, które zmodyfikowane zostało jednak w taki sposób, by aplikacja myślała, że jego rozmiar jest niewielki. Ta dobrze znana programistom procedura powodowała błąd, który otwierał cyberprzestępcom drzwi do konta ofiary. Co najciekawsze osoba, która na swoim urządzeniu zapisała złośliwe zdjęcie nie musiała go nawet wgrywać na serwery – wystarczyło otworzyć Instagrama, ponieważ ten w tle ładuje już zdjęcia użytkowników do pamięci, by z łatwością można się było nimi podzielić. Z dokładnym raportem opisującym procedurę ataku możecie zapoznać się na stronie Check Point.

Co na to Facebook? Jak chronić się przed podobnymi atakami?

Facebook oczywiście przyznał, że błąd rzeczywiście istniał i już go poprawił. Firma nie zgadza się jednak do końca z tym, co mówi Check Point – zdaniem społecznościowego giganta w celu wywołania błędu użytkownik musiał wgrać zdjęcie na serwery firmy, a przejęte mogło zostać co najwyżej jego konto, urządzenie pozostawało więc bezpieczne. Check Point twardo trzyma się jednak swojej publikacji. Kto ma rację? Tego pewnie nie dowiemy się nigdy. A jak w przyszłości chronić się przed podobnymi atakami? Najprościej byłoby powiedzieć: nie pobierajcie niepewnych zdjęć na swoje urządzenia. Wiem, że jest to jednak dość trudne do wykonania. Z tego powodu raczej doradzę wam, by zachować rozwagę i ostrożność. W końcu nie każdy w sieci chce nas shakować, ale lepiej mieć oczy dookoła głowy.

Źródło: Check Point