Instagram obsahoval chybu. Pomocí škodlivého obrázku šlo ukrást cizí účet

Instagram obsahoval chybu. Pomocí škodlivého obrázku šlo ukrást cizí účet

Výzkumníci z týmu Check Point Research nedávno odhalili závažnou chybu v jedné z nejpoužívanějších mobilních aplikací. Instagram obsahoval zranitelnost, které mohli zneužít útočníci a převzít kompletní kontrolu nad instagramovým účtem oběti. K útoku přitom stačilo odeslat obyčejně se tvářící obrázek. Chyby už jsou nyní opraveny a tento typ útoku by nemělo být možné znovu provést.

Cesta útočníků do mobilu oběti byla tentokrát přes obyčejně vyhlížející škodlivý obrázek. Pokud by si ho uživatel uložil do telefonu z e-mailu nebo třeba z komunikace na WhatsApp a následně otevřel v aplikaci Instagram, hackeři by získali plný přístup k instagramovým zprávám a obrázkům, což by jim umožnilo na účtu oběti zveřejňovat nebo mazat obrázky podle libosti. Stejně tak by měli přístup ke kontaktům, fotoaparátu a údajům o poloze napadeného telefonu.

Hrozba tkví v kódech třetích stran

Útočníci mohli zneužít toho, že aplikace Instagram má poměrně rozsáhlá oprávnění, která po instalaci vyžaduje. Patří mezi ně přístup ke kontaktům v telefonu, informace o poloze, přístup k fotoaparátu a souborům uloženým v zařízení. Telefon by se tak teoreticky dal zneužít ke špionáži. Na méně sofistikované „škodolibé“ úrovni by se uživateli zablokoval Instagram, dokud by ho nepřeinstaloval.

Klepněte pro větší obrázek
Takhle vypadala konkrétní chyba v kódu

V tomto konkrétním případě byla zranitelnost v Mozjpeg, open source JPEG dekodéru, který Instagram používá k nahrávání obrázků do aplikace. Check Point proto upozornil vývojáře aplikací na potenciální rizika spojená s knihovnami kódů třetích stran. Vývojáři aplikací často šetří čas a pro běžné úkony, jako je zpracování obrazu a zvuku nebo připojení k síti, používají kódy třetích stran. Ten ale může často obsahovat zranitelnosti, které mohou vést k bezpečnostním chybám v aplikaci.

Check Point po svém zjištění ihned informoval Facebook, coby majitele aplikace Instagram. Facebook tento problém okamžitě uznal a vydal záplatu pro novější verze aplikace Instagram na všech platformách. Aby bylo zajištěno, že aplikace uživatelů budou záplatované, čekal Check Point se zveřejněním této analýzy půl roku. Nyní už je tedy Instagram ohledně tohoto typu napadení odolný.

Bezpečnostní doporučení pro uživatele:

  • Aktualizujte! Aktualizujte! Aktualizujte! Pravidelně aktualizujte mobilní aplikace a mobilní operační systém. V aktualizacích jsou každý týden desítky důležitých bezpečnostních oprav a každá může vážně ovlivnit vaše soukromí.
  • Sledujte žádosti o oprávnění. Věnujte pozornost, jaká oprávnění aplikace žádají. Pro vývojáře aplikací je velmi snadné jednoduše požádat uživatele o více oprávnění, než potřebují, a uživatelé mohou jednoduše kliknout na „povolit“, aniž by si to pořádně rozmysleli.
  • Než něco schválíte, dobře se nad tím zamyslete. Položte si otázku: „Opravdu chci této aplikaci poskytnout tato oprávnění, opravdu to potřebuji?“ Pokud je odpověď ne, žádost o oprávnění pro aplikaci odmítněte.
Váš názor Další článek: T-Mobile nabízí zvýhodněný „podzimní“ tarif. 5 GB dat, 200 minut a SMS za 375 Kč

Témata článku: Aplikace, Facebook, Zranitelnost, Bezpečnost, Pro vývojáře, Instagram, Chyba, Hrozba, Ransomware, Check Point, Malware, Check Point Research, Účet, Oprávnění, Uživatelé, JPEG, Kód, Obrázek


Určitě si přečtěte

Týden Živě: On fakt dnes ještě někdo stahuje filmy z Ulož.to?

Týden Živě: On fakt dnes ještě někdo stahuje filmy z Ulož.to?

** Kauza Ulož.to a proč my dva už (moc) newarezíme ** Windows 10X existují, ale nabízí se otázka proč ** Nissan ukázal vizi kanceláře v podobě karavanu

Jakub Čížek, Vladislav Kluska | 28

RECENZE: Redmi Note 8 Pro – bestseller má úspěšné pokračování

RECENZE: Redmi Note 8 Pro – bestseller má úspěšné pokračování

** Redmi Note 8 Pro přináší nekompromisní poměr výkon / cena ** Přidává čtyřnásobný fotoaparát s 64Mpx rozlišením ** Zamrzí jen košaté MIUI se zbytečnými aplikacemi

Martin Miksa | 9

RECENZE: Xiaomi Mi 10T Pro – 144 Hz potěší hráče, 108 Mpx zase fotografy

RECENZE: Xiaomi Mi 10T Pro – 144 Hz potěší hráče, 108 Mpx zase fotografy

**144Hz displej je skvělý, ale klidně může používat jen 90 Hz **5G začíná být zajímavé i u nás a telefon tyto sítě umí **MIUI je dvousečná zbraň a nemusí vyhovovat každému

Jakub Michlovský | 40