Naukowcy z firmy cybersecurity Check Point odkryli lukę w aplikacji mobilnej Instagram. Pozwala ona przestępcy na zdalne przejęcie urządzenia. Za pomocą tej metody można uzyskać dostęp do lokalizacji GPS użytkownika, kontaktów telefonicznych, a nawet aparatu fotograficznego. Wszystko zaczyna się od jednego spreparowanego zdjęcia. Sam fakt, że coś, wokół czego cały serwis się kręci, jest kluczem do ataku, czyni go niezwykle niebezpiecznym.
Przejęcie kontroli nad smartfonem przez Instagram
Sposób działania aplikacji polega na tym, że przestępca wysyła do celu zdjęcie. Plik ten może pochodzić z poczty elektronicznej, WhatsApp, lub innej platformy wymiany mediów. Ofiara musi zapisać zdjęcie do pamięci smartfona. Zapisywanie może odbywać się ręcznie. Jednak w zależności od konfiguracji smartfona oraz platformy służącej do przesłania zdjęcia ten może zapisać je automatycznie. Na przykład WhatsApp domyślnie automatycznie zapisuje obrazy. Jak widać, bycie lekkomyślnym nie jest wymagane, aby paść ofiarą ataku. Po zapisaniu na urządzeniu wbudowany w obrazie kod RCE (wykonanie zdalnego sterowania) jest wyzwalany, gdy użytkownik otworzy aplikację Instagram.
Zobacz też: Filmy ze smartfonów z MediaTekiem będą jeszcze lepsze – firma zawarła interesujące partnerstwo
Dzięki temu atakujący uzyskuje pełny dostęp do aplikacji Instagram. Haker może następnie odczytać bezpośrednie wiadomości na koncie ofiary Instagram, usunąć lub umieścić zdjęcia, zmienić profil konta, lub po prostu wszystko inne dozwolone przez aplikację. Ponadto, ponieważ Instagram zazwyczaj ma uprawnienia do dostępu do niektórych zewnętrznych funkcji smartfona, hakerzy mogą uzyskać dostęp do lokalizacji GPS, przeglądać kontakty, włączyć aparat telefoniczny i uzyskać dostęp do plików zapisanych na urządzeniu. Przestępca może również zawiesić aplikację Instagram, uniemożliwiając użytkownikowi dostęp do niej do momentu jej usunięcia i ponownej instalacji. Luka istnieje zarówno w wersji na iOS, jak i Androida. Dobra wiadomość jest taka, że Facebook już załatał lukę. Dlatego też warto czym prędzej zaktualizować aplikacje Instagrama do najnowszej wersji.
Źródło: TechSpot