חוקרי הגנת הסייבר של חברת צ'ק פוינט איתרו חולשת אבטחה חמורה באחת מהאפליקציות הפופולריות בעולם – אינסנטגרם.
החולשה באפליקציה, לה יותר ממיליארד משתמשים ברחבי העולם, היתה קיימת בקוד של אחת הספריות בהן משתמשת אינסטגרם – Mozjpeg – אשר מאפשרת העלאת תמונות לאפליקציה.
הפרצה איפשרה פוטנציאלית השתלטות מרחוק על האפליקציה ומכשיר הטלפון שבו היא מאוחסנת. עם קבלת השליטה מרחוק, התוקף יכול להשתמש במכשיר הטלפון כבשלו ולהופכו למכשיר ריגול לכל דבר ועניין, באופן שמנגיש לתוקף את כלל המידע שנמצא על המכשיר ואת היכולות השונות שבו.
המתקפה עבדה באופן הבא: התוקף שולח תמונה המכילה קוד זדוני לקורבן דרך אי מייל, וואסטאפ, סמס או בכל פלטפורמת תקשורת אחרת. אחר כך התמונה נשמרת על מכשיר הטלפון הנייד אוטומטית או באופן ידני. הקורבן פותח את אפליקציית אינסטגרם לשימוש רגיל ובכך מאתחל את ניצול החולשה, באופן שמאפשר השתלטות על המכשיר.
השליטה על האינסטגרם של הקורבן וכן על המכשיר בו היא מאוחסנת בעקבות החולשה היא רחבת היקף, בשל העובדה שהאפליקציה מבקשת הרשאות רבות על המכשיר בו היא מאוחסנת, ומאפשרת לתוקף לקבל גישה ליכולות רבות של מכשיר הטלפון הנייד – החל ממיקום הקורבן והפעלת מצלמה ועד לגישה לכלל התמונות והסרטונים השמורים על המכשיר.
כמו כן, ניצול החולשה מאפשר להקריס את האפליקציה ולהוציאה מכלל שימוש עד למחיקתה מהמכשיר.
חוקרי צ'ק פוינט עדכנו את פייסבוק בדבר החולשה בחודש בפברואר והחברה טיפלה בנושא במהירות, באמצעות עדכון אבטחה שנועד לחסום את החולשה בגרסאות מעודכנות של אינסטגרם.
בשל העובדה שמדובר בחולשה חמורה באפליקציה פופולרית וכן שמדובר בעדכון שאינו אוטומטי ודורש מהמשתמשים להוריד אותו, צ'ק פוינט המתינה 6 חודשים עם הפרסום בכדי לצמצם את הסיכון הפוטנציאלי הנשקף מהחולשה.
יניב בלמס, מנהל מחלקת מחקר סייבר בצ'ק פוינט, סיפר כי "אפליקציות פופולריות נחשבות ל'מטרות זהב' למדינות וגופי תקיפה גדולים, שכן הן מכילות מידע אישי רב עליהן, וכן מבקשות סדרה ארוכה במיוחד של הרשאות ונגישות על המכשיר עליו הן מותקנות. מבחינה זו, חולשה באפליקציה שכזו מהווה פתח להתקפה מסוכנת במיוחד".
"משתמשים רבים כלל לא מסתכלים על ההרשאות שהם מאפשרים לאפליקציות, ואנו ממליצים לעשות זאת בכדי להבטיח שהם מודעים לסיכון שהם נוטלים על עצמם. אנו קוראים לכלל משתמשי אינסטגרם לוודא שהם משתמשים בגרסא מעודכנת של האפליקציה, בכדי להבטיח שהחולשה שמצאנו לא שמישה על המכשיר שלהם", סיכם בלמס.