פרצת אבטחה חמורה באחת הרשתות החברתיות הפופולריות בעולם: חברת אבטחת הסייבר הישראלית צ'ק פוינט הודיעה היום (חמישי) כי איתרה פירצה באינסטגרם, לה יותר ממיליארד משתמשים, שעלולה הייתה להביא להשתלטות מרחוק על האפליקציה והסמארטפון. "המכשיר הופך לכלי ריגול לכל דבר ועניין, באופן שמנגיש לתוקף את כלל המידע שנמצא על המכשיר ואת היכולות השונות שבו", כתבו בחברת האבטחה.
החולשה אותרה במנגנון עיבוד התמונות של הפלטפורמה הפופולרית, ואפשרה לתוקף להשתלט על האפליקציה וכן להשיג את מיקומו של הקורבן, פרטי אמצעי הקשר, הפעלת מצלמה ועוד. החולשה הייתה קיימת בקוד של אחת הספריות בהן משתמשת אינסטגרם – Mozjpeg – אשר מאפשרת העלאת תמונות לאפליקציה.
ההשתלטות התבצעה בדרך הבאה: התוקף שולח תמונה המכילה קוד זדוני לקורבן דרך מייל, וואסטאפ, סמס (מסרון) או בכל פלטפורמת תקשורת אחרת. לאחר מכן, התמונה נשמרת בסמארטפון אוטמטית או באופן ידני (אפשרויות אוטמטיות יכולות להיות למשל הגדרת ברירת המחדל להורדת תמונות של וואטסאפ), והקורבן פותח את אפליקציית אינסטגרם לשימוש רגיל ובכך מאתחל את ניצול החולשה, באופן שמאפשר השתלטות על המכשיר.
השליטה על האינסטגרם של הקורבן וכן על המכשיר בו היא מאוחסנת בעקבות החולשה היא רחבת היקף, בשל העובדה שהאפליקציה מבקשת הרשאות רבות על המכשיר בו היא מאוחסנת, ומאפשרת לתוקף לקבל גישה ליכולות רבות של מכשיר הטלפון הנייד – החל ממיקום הקורבן והפעלת מצלמה ועד לגישה לכלל התמונות והסרטונים השמורים על המכשיר. כמו כן, ניצול החולשה מאפשר להקריס את האפליקציה ולהוציאה מכלל שימוש עד למחיקתה מהמכשיר.
חוקרי צ'ק פוינט עדכנו את פייסבוק בדבר החולשה בחודש פברואר והחברה טיפלה בנושא במהירות, באמצעות עדכון אבטחה שנועד לחסום את החולשה בגרסאות מעודכנות של אינסטגרם. בשל העובדה שמדובר בחולשה חמורה באפליקציה פופולרית, וכן שמדובר בעדכון שאינו אוטומטי ודורש מהמשתמשים להוריד אותו, צ'ק פוינט המתינה 6 חודשים עם הפרסום כדי לצמצם את הסיכון הפוטנציאלי הנשקף מהחולשה.
"אפליקציות פופולריות נחשבות ל'מטרות זהב' למדינות וגופי תקיפה גדולים, שכן הן מכילות מידע אישי רב עליהן, וכן מבקשות סדרה ארוכה במיוחד של הרשאות ונגישות על המכשיר עליו הן מותקנות", אומר יניב בלמס, מנהל מחלקת מחקר סייבר בצ'ק פוינט. מבחינה זו, חולשה באפליקציה שכזו מהווה פתח להתקפה מסוכנת במיוחד. אנו קוראים לכלל משתמשי אינסטגרם לוודא שהם משתמשים בגרסה מעודכנת של האפליקציה".
מפייסבוק נמסר: "הדו"ח של צ׳ק פוינט מפריז בתיאור התקלה שתוארה בפנינו. החקירה העצמאית של צ'קפוינט לא הצליחה לנצל לרעה את הבאג שהתגלה בשום צורה. הבעיה נפתרה ואין לנו כל סיבה להאמין שמישהו הושפע ממנה".
טעינו? נתקן! אם מצאתם טעות בכתבה, נשמח שתשתפו אותנו