Instagram obsahoval chybu. Pomocí škodlivého obrázku šlo ukrást cizí účet

Instagram obsahoval chybu. Pomocí škodlivého obrázku šlo ukrást cizí účet

Výzkumníci z týmu Check Point Research nedávno odhalili závažnou chybu v jedné z nejpoužívanějších mobilních aplikací. Instagram obsahoval zranitelnost, které mohli zneužít útočníci a převzít kompletní kontrolu nad instagramovým účtem oběti. K útoku přitom stačilo odeslat obyčejně se tvářící obrázek. Chyby už jsou nyní opraveny a tento typ útoku by nemělo být možné znovu provést.

Cesta útočníků do mobilu oběti byla tentokrát přes obyčejně vyhlížející škodlivý obrázek. Pokud by si ho uživatel uložil do telefonu z e-mailu nebo třeba z komunikace na WhatsApp a následně otevřel v aplikaci Instagram, hackeři by získali plný přístup k instagramovým zprávám a obrázkům, což by jim umožnilo na účtu oběti zveřejňovat nebo mazat obrázky podle libosti. Stejně tak by měli přístup ke kontaktům, fotoaparátu a údajům o poloze napadeného telefonu.

Hrozba tkví v kódech třetích stran

Útočníci mohli zneužít toho, že aplikace Instagram má poměrně rozsáhlá oprávnění, která po instalaci vyžaduje. Patří mezi ně přístup ke kontaktům v telefonu, informace o poloze, přístup k fotoaparátu a souborům uloženým v zařízení. Telefon by se tak teoreticky dal zneužít ke špionáži. Na méně sofistikované „škodolibé“ úrovni by se uživateli zablokoval Instagram, dokud by ho nepřeinstaloval.

Klepněte pro větší obrázek
Takhle vypadala konkrétní chyba v kódu

V tomto konkrétním případě byla zranitelnost v Mozjpeg, open source JPEG dekodéru, který Instagram používá k nahrávání obrázků do aplikace. Check Point proto upozornil vývojáře aplikací na potenciální rizika spojená s knihovnami kódů třetích stran. Vývojáři aplikací často šetří čas a pro běžné úkony, jako je zpracování obrazu a zvuku nebo připojení k síti, používají kódy třetích stran. Ten ale může často obsahovat zranitelnosti, které mohou vést k bezpečnostním chybám v aplikaci.

Check Point po svém zjištění ihned informoval Facebook, coby majitele aplikace Instagram. Facebook tento problém okamžitě uznal a vydal záplatu pro novější verze aplikace Instagram na všech platformách. Aby bylo zajištěno, že aplikace uživatelů budou záplatované, čekal Check Point se zveřejněním této analýzy půl roku. Nyní už je tedy Instagram ohledně tohoto typu napadení odolný.

Bezpečnostní doporučení pro uživatele:

  • Aktualizujte! Aktualizujte! Aktualizujte! Pravidelně aktualizujte mobilní aplikace a mobilní operační systém. V aktualizacích jsou každý týden desítky důležitých bezpečnostních oprav a každá může vážně ovlivnit vaše soukromí.
  • Sledujte žádosti o oprávnění. Věnujte pozornost, jaká oprávnění aplikace žádají. Pro vývojáře aplikací je velmi snadné jednoduše požádat uživatele o více oprávnění, než potřebují, a uživatelé mohou jednoduše kliknout na „povolit“, aniž by si to pořádně rozmysleli.
  • Než něco schválíte, dobře se nad tím zamyslete. Položte si otázku: „Opravdu chci této aplikaci poskytnout tato oprávnění, opravdu to potřebuji?“ Pokud je odpověď ne, žádost o oprávnění pro aplikaci odmítněte.
Váš názor Další článek: T-Mobile nabízí zvýhodněný „podzimní“ tarif. 5 GB dat, 200 minut a SMS za 375 Kč

Témata článku: Facebook, Instagram, Malware, Zranitelnost, Bezpečnost, Chyba, Check Point, Pro vývojáře, Ransomware, Hrozba, Účet, Oprávnění, Check Point Research, Obrázek, Uživatelé, Aplikace, JPEG, Kód



Sex manželských párů? Jen výjimečně. Ložnice ovládnou roboti s umělou inteligencí

Sex manželských párů? Jen výjimečně. Ložnice ovládnou roboti s umělou inteligencí

** Sex manželských párů jen při zvláštních příležitostech. ** Ložnice ovládnou sexuální roboti s umělou inteligencí. ** I to je jeden ze závěrů Mezinárodní robotické konference.

Filip KůželJiří Liebreich
RobotiSexUmělá inteligence
Kapacitu baterie nového iPhonu SE odhalila až rozborka. Tak směšnou hodnotu už si dnes dovolí jen Apple

Kapacitu baterie nového iPhonu SE odhalila až rozborka. Tak směšnou hodnotu už si dnes dovolí jen Apple

** Apple při představení iPhonu SE (2022) opět zamlčel kapacitu baterie ** Opět musela pomoci až rozborka telefonu ** Baterie „es éčka“ vůbec poprvé překonala metu 2 000 mAh!

Martin Chroust
RozborkaiPhone
eSIM dostanete do každého smartphonu. Vypadá jako běžná nanoSIM, má však svou paměť i systém

eSIM dostanete do každého smartphonu. Vypadá jako běžná nanoSIM, má však svou paměť i systém

** Víte, že eSIM dnes může mít úplně každý telefon s Androidem ** Budete jen potřebovat kartičku eSIM.me, která vypadá jako nanoSIM ** Podle její ceny se odvíjí kapacita úložiště eSIM profilů

Martin Chroust
SIMeSIMAndroid
Další velká věc pro chytré hodinky. Změří cukr v krvi, daleko víc modelů ohlídá teplotu

Další velká věc pro chytré hodinky. Změří cukr v krvi, daleko víc modelů ohlídá teplotu

** Chytré hodinky se prakticky každý rok naučí měřit něco nového ** Letos by se mělo jednat o neinvazivní měření krevního cukru ** Měření teploty kůže by se mělo dostat i na další chytré hodinky

Martin Chroust
Měření glykémieMěřeníChytré hodinky
Přehled zařízení, která dostanou Android 12. Aktualizace se týká topmodelů i levnějších telefonů

Přehled zařízení, která dostanou Android 12. Aktualizace se týká topmodelů i levnějších telefonů

** Pixely už jej mají, postupně se přidávají další mobilní výrobci ** Android 12 přináší spoustu softwarových novinek a vylepšení ** V našem seznamu se dozvíte, kdy aktualizace dorazí i na váš telefon

Martin ChroustJan Láska
Android 12Aktualizace softwaruSmartphony
Google na obchodu Play pustil do oběhu malware obřích rozměrů. Dostal se do více než 60 milionů smartphonů

Google na obchodu Play pustil do oběhu malware obřích rozměrů. Dostal se do více než 60 milionů smartphonů

** Doslova každý týden se na Google Play objeví nový malware ** Ten nejnovější si do mobilů stáhlo na 60 milionů uživatelů ** Vývojáři aplikací vydělávají na přeprodeji citlivých dat

Martin Chroust
Google PlayMalwareAndroid
Vybrali jsme 15 nejlepších tabletů, které se vyplatí koupit. O slovo se hlásí už i noví výrobci

Vybrali jsme 15 nejlepších tabletů, které se vyplatí koupit. O slovo se hlásí už i noví výrobci

** Jak se zorientovat v široké nabídce tabletů a proč tablet vůbec chtít? ** Vybíráme 15 nejlepších modelů ze všech cenových kategorií ** Cena použitelných tabletů začíná na dvou tisících korun

Martin Miksa
Tablety
Vyzkoušeli jsme levnou autodiagnostiku s Androidem. Servisy ohrnou nos, řidičům bude stačit

Vyzkoušeli jsme levnou autodiagnostiku s Androidem. Servisy ohrnou nos, řidičům bude stačit

** Smartphone s Androidem dnes využijete i pro autodiagnostiku ** Jednotku OBD-II dnes pořídíte za pár stovek ** Co se vše dokáže diagnostika s bezplatným SW v češtině?

Martin Chroust
DiagnostikaPro řidiče
Nahrávání hovorů na Androidu nadobro skončí. Nepomůže ani obcházení systémových omezení

Nahrávání hovorů na Androidu nadobro skončí. Nepomůže ani obcházení systémových omezení

** Google 11. května vypne nahrávání hovorů na Androidu ** Aplikace nebudou moci k nahrávání využívat API pro Usnadnění ** Uživatelé mají pouze dvě možnosti, jak nahrávání zachovat...

Martin Chroust
Nahrávání hovorůAndroid
Další vlna podvodných SMS z čísla 2563. Neotevírejte odkaz a nezadávejte žádné platební údaje

Další vlna podvodných SMS z čísla 2563. Neotevírejte odkaz a nezadávejte žádné platební údaje

** Útočníkům první vlna nestačila, na důvěřivé Čechy útočí dál ** Nalákají vás na údajně nezaplacené clo ** Odkaz neotvírejte a podvodníkům rozhodně nic neplaťte!

Martin Chroust
PodvodOchranaSMS
Xiaomi Watch S1. Elegantní chytré hodinky na sport i běžné denní nošení

Xiaomi Watch S1. Elegantní chytré hodinky na sport i běžné denní nošení

** Xiaomi se s hodinkami posunulo do prémiovějšího segmentu ** Watch S1 jsou elegantní kruhové hodinky se safírovým sklem ** Výbava zaslouží pochvalu, na softwaru je ještě co vylepšovat

Jan Láska
Chytré hodinky