חולשת אבטחה חמורה שהתגלתה באינסטגרם איפשרה לגורמים זדוניים להשתלט על האפליקציה הפופולרית ולהפוך את הסמארטפון לכלי ריגול - כך עולה ממחקר שמפרסמת היום (ה') חברת אבטחת המידע הישראלית צ'ק פוינט. החולשה התגלתה לפני יותר מחצי שנה, תוקנה על-ידי אינסטגרם כבר לפני חודשים וכעת היא נחשפת לראשונה. בפייסבוק אומרים כי התיאור של צ'ק פוינט מוגזם וכי לא ידוע על שימוש לרעה בחולשת האבטחה. ההמלצה למשתמשים: ודאו שאתם משתמשים בגרסה האחרונה של האפליקציה.
מדוע מדובר בחולשת אבטחה חמורה?
● עם יותר ממיליארד משתמשים, אינסטגרם היא אחת האפליקציות הפופולריות בעולם
● החולשה איפשרה לנצל את ההרשאות של אינסטגרם ולהפוך את הסמארטפון לכלי ריגול
● עדכון האבטחה אינו יורד בהכרח באופן אוטומטי
יותר ממיליארד בני אדם משתמשים ברשת החברתית לשיתוף תמונות, סרטונים וסטוריז שנמצאת בבעלות פייסבוק. אפליקציות עם היקף רחב כל כך של משתמשים נחשבות למטרות מבוקשות מאוד על-ידי האקרים, מפני שחולשות שמתגלות בהן יכולות באופן פוטנציאלי לשמש כשער כניסה למכשירים רבים.
בצ'ק פוינט גילו כי חולשה מסוכנת כזו אכן קיימת באינסטגרם, הן באנדרואיד והן ב-iOS: החולשה התגלתה בספרייה בשם Mozjpeg, אשר מאפשרת להעלות תמונות לאפליקציה. היא איפשרה להשתלט מרחוק על אינסטגרם בשיטה שנקראת RCE - Remote Control Execution. בפייסבוק, מאידך, אומרים כי "הדו"ח של צ׳ק פוינט מפריז בתיאור התקלה שתוארה בפנינו. החקירה העצמאית של צ'ק פוינט לא הצליחה לנצל לרעה את הבאג שהתגלה בשום צורה. הבעיה נפתרה ואין לנו כל סיבה להאמין שמישהו הושפע ממנה".
לפי הדו"ח של צ'ק פוינט, תקיפה הייתה יכולה להתרחש בצורה הבאה:
● התוקף שולח לקורבן תמונה עם קוד זדוני באמצעות מייל, וואטסאפ, SMS או כל פלטפורמת תקשורת אחרת
● התמונה נשמרת על הסמארטפון באופן אוטומטי או ידני
● הקורבן פותח את אפליקציית אינסטגרם - ובכך מאתחל את ניצול החולשה
● התוקף יכול כעת להשתמש באינסטגרם ובסמארטפון ללא ידיעת הקורבן
מכיוון שלאינסטגרם יש בדרך כלל הרשאות נרחבות בסמארטפון - גישה למצלמה, למיקרופון, לאחסון, לנתוני מיקום ולעתים גם לטלפון ולאנשי הקשר - בפועל התוקף היה יכול להשתמש במכשיר כבשלו, לגשת לכל המידע שנמצא בתוכו ולהפוך אותו לכלי ריגול. כל זה, ללא ידיעתו של הקורבן כמובן. התוקף יכול היה גם לגרום לאינסטגרם לקרוס, למנוע מהקורבן לגשת אליה, לאלץ אותו להתקין את האפליקציה מחדש ולגרום לאובדן מידע.
"אפליקציות פופולריות נחשבות ל'מטרות זהב' למדינות וגופי תקיפה גדולים, שכן הן מכילות מידע אישי רב עליהן, וכן מבקשות סדרה ארוכה במיוחד של הרשאות ונגישות על המכשיר עליו הן מותקנות", אומר יניב בלמס, מנהל מחלקת מחקר סייבר בצ'ק פוינט. "מבחינה זו, חולשה באפליקציה שכזו מהווה פתח להתקפה מסוכנת במיוחד".
חוקרי צ'ק פוינט עדכנו את פייסבוק על החולשה בחודש פברואר. החברה טיפלה בנושא במהירות והוציאה עדכון אבטחה שנועד לחסום את החולשה. בשל העובדה שמדובר בחולשה חמורה באפליקציה פופולרית, וכן מכיוון שלא מדובר בעדכון שיורד באופן אוטומטי, בחברת אבטחת המידע המתינו חצי שנה עם הפרסום - שלושה חודשים מעבר לזמן המקובל - על מנת לצמצם את הסיכון הפוטנציאלי למשתמשים.
מעבר לעדכון הגרסה, בלמס ממליץ למשתמשים לשים לב אילו הרשאות הם מעניקים לאפליקציות השונות, שכן במקרה של חולשת אבטחה, גורמים זדוניים יוכלו לנצל לרעה את ההרשאות האלה: "ההמלצה האישית שלי היא להשקיע 10-20 שניות ולחשוב אם באמת צריך לתת לאפליקציה את ההרשאה שהיא מבקשת מכם. האם אתה באמת צריך שלאינסטגרם תהיה גישה ל-GPS שלך?".