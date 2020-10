Výzkumníci z týmu Check Point Research nedávno odhalili závažnou chybu v jedné z nejpoužívanějších mobilních aplikací. Instagram obsahoval zranitelnost, které mohli zneužít útočníci a převzít kompletní kontrolu nad instagramovým účtem oběti. K útoku přitom stačilo odeslat obyčejně se tvářící obrázek. Chyby už jsou nyní opraveny a tento typ útoku by nemělo být možné znovu provést.

Cesta útočníků do mobilu oběti byla tentokrát přes obyčejně vyhlížející škodlivý obrázek. Pokud by si ho uživatel uložil do telefonu z e-mailu nebo třeba z komunikace na WhatsApp a následně otevřel v aplikaci Instagram, hackeři by získali plný přístup k instagramovým zprávám a obrázkům, což by jim umožnilo na účtu oběti zveřejňovat nebo mazat obrázky podle libosti. Stejně tak by měli přístup ke kontaktům, fotoaparátu a údajům o poloze napadeného telefonu.

Hrozba tkví v kódech třetích stran

Útočníci mohli zneužít toho, že aplikace Instagram má poměrně rozsáhlá oprávnění, která po instalaci vyžaduje. Patří mezi ně přístup ke kontaktům v telefonu, informace o poloze, přístup k fotoaparátu a souborům uloženým v zařízení. Telefon by se tak teoreticky dal zneužít ke špionáži. Na méně sofistikované „škodolibé“ úrovni by se uživateli zablokoval Instagram, dokud by ho nepřeinstaloval.



Takhle vypadala konkrétní chyba v kódu

V tomto konkrétním případě byla zranitelnost v Mozjpeg, open source JPEG dekodéru, který Instagram používá k nahrávání obrázků do aplikace. Check Point proto upozornil vývojáře aplikací na potenciální rizika spojená s knihovnami kódů třetích stran. Vývojáři aplikací často šetří čas a pro běžné úkony, jako je zpracování obrazu a zvuku nebo připojení k síti, používají kódy třetích stran. Ten ale může často obsahovat zranitelnosti, které mohou vést k bezpečnostním chybám v aplikaci.

Check Point po svém zjištění ihned informoval Facebook, coby majitele aplikace Instagram. Facebook tento problém okamžitě uznal a vydal záplatu pro novější verze aplikace Instagram na všech platformách. Aby bylo zajištěno, že aplikace uživatelů budou záplatované, čekal Check Point se zveřejněním této analýzy půl roku. Nyní už je tedy Instagram ohledně tohoto typu napadení odolný.