Kritická zranitelnost v Instagramu, hackeři mohli pomocí škodlivého obrázku převzít kontrolu nad účtem a telefonem

PRAHA – 30. září 2020 — Check Point Research, výzkumný tým společnosti Check Point® Software Technologies Ltd. (NASDAQ: CHKP), předního světového poskytovatele kyberbezpečnostních řešení, odhalil kritickou zranitelnost v Instagramu, populární aplikaci pro sdílení fotografií a videí, která má více než 1 miliardu uživatelů. Zranitelnost by útočníkům umožnila převzít kontrolu nad instagramovým účtem oběti a využít napadený telefon ke špionáži. Stačilo by poslat jediný škodlivý obrázek. Když by byl obrázek uložen a otevřen v aplikaci Instagram, hackeři by získali plný přístup k instagramovým zprávám a obrázkům oběti, což by jim umožnilo na účtu oběti zveřejňovat nebo mazat obrázky podle libosti, stejně jako přístup ke kontaktům, fotoaparátu a údajům o poloze napadeného telefonu.

Jak útok funguje?

Ke zneužití zranitelnosti by útočníkům stačil jediný škodlivý obrázek. Check Point popsal útok ve třech krocích:

  1. Útočník odešle obrázek na e-mail uživatele, WhatsApp nebo jinou komunikační platformu.
  2. Obrázek se uloží do mobilního telefonu uživatele. To lze provést automaticky nebo ručně v závislosti na způsobu odeslání, typu mobilního telefonu a konfiguraci. Obrázek odeslaný například přes WhatsApp se ve výchozím nastavení automaticky uloží na telefon na všech platformách.
  3. Oběť otevře obrázek v aplikaci Instagram, čímž dojde ke zneužití zranitelnosti, cože útočníkům umožní převzít kontrolu nad účtem a telefonem.

Převzetí kontroly nad instagramovým účtem a zneužití telefonu

Zranitelnost by útočníkům poskytla plnou kontrolu nad aplikací Instagram a umožnila bez souhlasu uživatele například číst zprávy, mazat nebo zveřejňovat fotografie nebo manipulovat profilem.

Aplikace Instagram má poměrně rozsáhlá oprávnění, takže by útočníci mohli zranitelnost zneužít k přístupu ke kontaktům v telefonu, informacím o poloze, fotoaparátu a souborům uloženým v zařízení. Telefon by se tak dal zneužít ke špionáži.

Zneužití by na té nejméně sofistikované úrovni mohlo vést ke zhroucení aplikace Instagram a odepření přístupu, dokud uživatel aplikaci ze svého zařízení neodstraní a znovu nenainstaluje. To ale může způsobit ztrátu dat a jiné komplikace.

Hrozby v kódech třetích stran

Výzkumný tým Check Point Research objevil zranitelnost v Mozjpeg, open source JPEG dekodéru, který Instagram používá k nahrávání obrázků do aplikace. Check Point proto upozorňuje vývojáře aplikací na potenciální rizika spojená s knihovnami kódů třetích stran. Vývojáři aplikací často šetří čas a pro běžné úkony, jako je zpracování obrazu a zvuku nebo připojení k síti, používají kódy třetích stran. Kód třetí strany ovšem často obsahuje zranitelnosti, které mohou vést k bezpečnostním chybám v aplikaci, jako je tomu i v případě Instagramu.

Check Point odpovědně informoval Facebook, tedy majitele Instagramu. Facebook tento problém okamžitě uznal a vydal záplatu pro novější verze aplikace Instagram na všech platformách. Aby bylo zajištěno, že aplikace uživatelů budou záplatované, čekal Check Point se zveřejněním analýzy 6 měsíců.

„Z našeho výzkumu vyplývají mimo jiné dvě věci. Knihovny kódů třetích stran mohou být vážnou hrozbou. Důrazně žádáme vývojáře softwarových aplikací, aby prověřili knihovny kódů třetích stran, které používají k vytváření svých aplikačních infrastruktur, a zajistili, že jejich integrace proběhla správně. Kód třetí strany se používá prakticky ve všech aplikacích a hrozby s jejich pomocí mohou zůstat neodhalené. Dnes je to Instagram, zítra to může být někdo jiný,“ říká Petr Kadrmas, Security Engineer Eastern Europe v kyberbezpečnostní společnosti Check Point. „Lidé zároveň musí věnovat pozornost oprávněním, které aplikace žádají. Když aplikace žádá o nějaké oprávnění, může se to zdát jako zbytečná ztráta času a řada uživatelů jednoduše klikne na souhlas a na vše zapomene. Ale v praxi je to důležitá součást ochrany před mobilními kyberútoky, doporučujeme věnovat chvilku času a zamyslet se, jestli opravdu chcete aplikaci poskytnout přístup ke kameře, mikrofonu či dalším zdrojům telefonu.“

Check Point proto doporučuje dodržovat základní bezpečnostní principy:

  1. Aktualizujte! Aktualizujte! Aktualizujte! Pravidelně aktualizujte mobilní aplikace a mobilní operační systém. V aktualizacích jsou každý týden desítky důležitých bezpečnostních oprav a každá může vážně ovlivnit vaše soukromí.
  2. Sledujte žádosti o oprávnění. Věnujte pozornost, jaká oprávnění aplikace žádají. Pro vývojáře aplikací je velmi snadné jednoduše požádat uživatele o více oprávnění, než potřebují, a uživatelé mohou jednoduše kliknout na „povolit“, aniž by si to pořádně rozmysleli.
  3. Než něco schválíte, dobře se nad tím zamyslete. Než něco schválíte, pořádně se nad tím zamyslete a zeptejte se: „Opravdu chci této aplikaci poskytnout tato oprávnění, opravdu to potřebuji?“ Pokud je odpověď ne, žádost neschvalte.

Více informací najdete v analýze výzkumného týmu Check Point Research:

https://research.checkpoint.com/2020/instagram_rce-code-execution-vulnerability-in-instagram-app-for-android-and-ios/

Sledujte novinky o bezpečnostním týmu Check Point Research:

Blog: https://research.checkpoint.com/ 

Twitter: https://twitter.com/_cpresearch_ 

Sledujte novinky o společnosti Check Point:
Twitter: http://www.twitter.com/checkpointsw
Facebook: https://www.facebook.com/checkpointsoftware
Blog: http://blog.checkpoint.com 
YouTube: http://www.youtube.com/user/CPGlobal
LinkedIn: https://www.linkedin.com/company/check-point-software-technologies

O výzkumném týmu Check Point Research 

Check Point Research poskytuje zákazníkům společnosti Check Point Software a širší bezpečnostní komunitě detailní informace o kyberhrozbách. Výzkumný tým shromažďuje a analyzuje data o globálních kyberútocích ze sítě ThreatCloud, chrání tak před hackery a zajišťuje, že všechny produkty Check Point jsou aktualizované a mají nejnovější ochranu. Výzkumný tým se skládá z více než 100 analytiků a výzkumných pracovníků, kteří spolupracují také s dalšími bezpečnostními společnostmi, donucovacími orgány a organizacemi CERT.

O společnosti Check Point Software Technologies

Check Point Software Technologies Ltd. (www.checkpoint.com) je přední poskytovatel kyberbezpečnostních řešení pro vlády a organizace po celém světě. Chrání zákazníky před kyberútoky 5. generace prostřednictvím unikátních řešení, která nabízí bezkonkurenční úspěšnost zachycení malwaru, ransomwaru a jiných pokročilých cílených hrozeb. Check Point nabízí víceúrovňovou bezpečnostní architekturu, Infinity Total Protection s pokročilou prevencí hrozeb 5. generace, a tato kombinovaná produktová architektura chrání podnikové sítě, cloudová prostředí a mobilní zařízení. Check Point navíc poskytuje nejkomplexnější a nejintuitivnější nástroje pro správu zabezpečení. Check Point chrání více než 100 000 organizací všech velikostí.