Portale społecznościowe roją się do dziur i bugów, więc nic dziwnego, że Instagram ma krytyczną lukę. Lukę w serwisie odkryli eksperci z firmy Check Point. Błąd wygląda na naprawdę poważny. Nie jest to jakieś tam niedociągnięcie. Instagram jest portalem społecznościowym, na którym umieszcza się zdjęcia i filmy. Charakterystyczną cechą aplikacji był nadawany zdjęciom kwadratowy kształt.

Wygląda to podobnie jak w aparatach fotograficznych marki Kodak serii Instamatic, aparatach do fotografii błyskawicznej firmy Polaroid oraz w średnioformatowych aparatach formatu 6 × 6 w przeciwieństwie do proporcji obrazu 4:3. Dopiero w 27 sierpnia 2015 roku udostępniono możliwość umieszczania zdjęć i filmów w innych formatach obrazu. W sierpniu 2012 roku serwis został kupiony przez Facebooka. Po pewnym czasie zmieniono regulamin – nowe przepisy wskazują na możliwość sprzedaży zdjęć użytkowników przedsiębiorstwom zewnętrznym. Już to może być dużym nadużyciem. Okazało się jednak, że luki, które pojawią się w aplikacji, sprawiają, że jest on jeszcze mniej bezpieczny.

Liczba użytkowników aplikacji Instagram przekroczyła miliard miesięcznie m na świecie.

Okazuje się, że każdego dnia ok. 200 milionów użytkowników aplikacji odwiedza przynajmniej jeden profil firmowy. Co ciekawe, w Polsce z Instagrama korzysta blisko 7 mln użytkowników. Dodatkowo 500 milionów (co drugi użytkownik) korzysta ze Stories. Wszystkie te osoby są narażone na wyciek danych. Od jakiegoś czasu aplikacje społecznościowe są coraz częstszym celem ataków hackerów. Prawda jest jednak taka, że nie można by było się do nich włamać, gdyby nie były dziurawe, jak ser szwajcarski. Zdaje się, że jeżeli za aplikację odpowiada taki gigant jak Facebook, to bezpieczeństwo winno być na najwyższym poziomie. Nic bardziej mylnego. Wszystkie aplikacje od stajni Marka Zuckerberga borykają się z problemami z bezpieczeństwem.

To właśnie Eksperci z firmy Check Point odkryli krytyczną lukę w aplikacji Instagram.

Przez tę dziurę osoby atakujące mogą uzyskać dostęp do danych uwierzytelniających użytkownika, kontaktów telefonicznych i lokalizacji. Taką informację podała firma Check Point. Bardzo ciekawe jest, jak wyglądał sam atak na Instagrama. Według ekspertów atakujący najpierw wysłał ofierze złośliwy plik na e-mail, możliwe, że poprzez aplikacje WhatsApp, ale nie ma co do tego pewności. Ta wyżej nakreślona podatność pozwoliła na przejęcie konta na profilu ofiary. Podatność w aplikacji pozwalała na tzw. zdalne wykonanie kodu (RCE), co przekładało się na możliwość dokonania przez hakerów dowolnej czynności w aplikacji oraz wykorzystania jej uprawnień, zagrażając prywatności milionom użytkowników na całym świecie! Złośliwy plik był plikiem graficznym (obrazkiem). Po otwarciu Instagrama i wyświetleniu ściągniętego zdjęcia złośliwy kod wykorzystuje podatność, zapewniając hakerowi pełny dostęp do wiadomości oraz obrazów ofiary. Dzięki temu haker inicjował atak. W rezultacie mógł kierować kontem ofiary bez jej wiedzy. Co więcej, otrzymywał dostęp do kontaktów telefonu, kamerze i danych o lokalizacji użytkownika.

Instagram

Najpopularniejsza na świecie aplikacja do publikowania zdjęć – Instagram, posiadała poważną lukę bezpieczeństwa.

Według informacji Facebook naprawił już błąd w aplikacji. Luka dotyczyła Mozjpeg, dekodera JPEG typu open source. Dzięki temu modułowi aplikacja społecznościowa od Facebooka może ładować obrazy i zdjęcia. Eksperci Check Point szybko udostępnili wyniki badań Facebookowi, a ten przyznał się do problemu. Najśmieszniejsze jest, że lukę, która doprowadziła do wycieku danych użytkownika, nazwali “przepełnieniem bufora”. Aczkolwiek, firma naprawiła już błędy. Poprawki znalazły się w najnowszych wersjach aplikacji, na wszystkie dostępne platformy.

Szef oddziału badań cybernetycznych w Check Point Yaniv Balmas także postanowił skomentować całą akcję z aplikacją Instagram.

“Na podstawie naszych badań doszliśmy do dwóch wniosków. Po pierwsze, kod innej firmy w aplikacji może stanowić poważne zagrożenie. Wzywamy programistów do sprawdzania bibliotek kodów innych firm. Kod stron trzecich jest używany w prawie każdej aplikacji, więc bardzo łatwo jest przeoczyć zagrożenie. Po drugie, użytkownicy powinni uważać na uprawnienia dostępu, które dają aplikacjom. Zalecam chwilę zastanowić się przed wyrażeniem zgody na dostęp aplikacji do pewnych funkcji lub danych na urządzeniu, ponieważ może to uchronić przed potencjalnymi atakami. Eksperci zalecają użytkownikom regularne aktualizowanie aplikacji mobilnych i systemu operacyjnego oraz zwracanie uwagi na aplikacje, które żądają uprawnień.” – skomentował.

Instagram

Aplikacja Instagram daje sobie możliwość dostępu do mikrofonu, zdjęć i filmów.

Wszystko dlatego, że musimy w jakichś sposób uploadować zasoby do naszego profilu, oraz nagrywać relację. Ma tę dostęp do kamery. Dzięki nowej funkcji w systemie iOS 14 od Apple możemy to sprawdzić. Podczas uruchomienia niektórych funkcji Instagrama pojawia się kropka w prawym górnym rogu (zaraz nad ikonką zasięgu sieci). Warta zatem przed nadaniem aplikacji pewnych uprawnień, zastanowić się, czy chcemy to na pewno zrobić i jakie mogą być tego konsekwencje. Jak widać, nie tylko malutkie aplikacje mają problem z bezpieczeństwem. Zdarza się to także gigantom rynku IT. Warto też stale prowadzić aktualizacje aplikacji i używanego systemu operacyjnego. Pozwoli to uchronić się przed zagrożeniami na tyle, o ile poprawki wprowadzają developerzy.

PJ
Przemek jest mózgiem operacyjnym SpeedTest.pl. Studiował na Politechnice Wrocławskiej elektronikę i telekomunikację. Zarządza projektami IT, relacjami z klientami oraz nadzoruje procesy rozwoju. Prywatnie zaangażowany w rodzinę, wsparcie różnych działalności charytatywnych i projekty ekstremalne.