Check Point ha identificato una vulnerabilità critica in Instagram, la popolare app con oltre 1 miliardo di utenti in tutto il mondo. La vulnerabilità avrebbe dato a un aggressore la possibilità di appropriarsi di un account Instagram e trasformare il telefono in uno strumento per spiare la vittima, semplicemente con l’invio di un’immagine.

Quando questa viene salvata e aperta nell’app Instagram, l’exploit darebbe all’hacker pieno accesso ai direct e alle immagini Instagram della vittima, consentendogli di pubblicare o cancellare le immagini a piacimento, oltre a dare accesso ai contatti della rubrica, alla fotocamera e alla geolocalizzazione.

Come funziona l’attacco

Per sfruttare la vulnerabilità, all’aggressore sarebbe bastata una sola immagine dannosa. I ricercatori hanno riassunto il metodo di attacco in tre fasi:

  1. L’aggressore invia un’immagine a un target preciso via mail, WhatsApp o un’altra piattaforma di messaggistica
  2. L’immagine viene salvata sul cellulare dell’utente – in modo automatico o manuale, a seconda del metodo di invio, del tipo di telefono e della configurazione. Un’immagine inviata tramite WhatsApp, ad esempio, verrà salvata automaticamente sul telefono di default su tutte le piattaforme.
  3. La vittima apre l’app Instagram, attivando l’exploit, dando all’aggressore l’accesso completo per il controllo a distanza 

Controllo totale di Instagram e il telefono che si trasforma in una spia

La vulnerabilità conferisce all’aggressore il pieno controllo dell’app Instagram, consentendogli di intraprendere azioni senza il consenso dell’utente, tra cui la lettura di tutti i direct sull’account Instagram, l’eliminazione o la pubblicazione di foto a piacimento o la manipolazione dei dettagli del profilo dell’account.

A Instagram vengono concesse parecchie autorizzazioni che funzionano come apripista verso i telefoni degli utenti, quindi un aggressore potrebbe anche utilizzare la vulnerabilità per accedere ai contatti telefonici, ai dati di geolocalizzazione, alla fotocamera e ai file memorizzati sul dispositivo, trasformando il telefono in un perfetto strumento di spionaggio.

Con un exploit elementare, l’hacker potrebbe bloccare l’app di un utente, negandogli l’accesso fino a quando non la cancellerà dal suo dispositivo e la reinstallerà, causando disagi e possibili perdite di dati.

Pericolo in caso di utilizzo di codice di terze parti

Check Point ha trovato la vulnerabilità in Mozjpeg, un decodificatore open source JPEG che viene utilizzato da Instagram per caricare immagini nell’applicazione. I ricercatori vogliono mettere in guardia gli sviluppatori di app sui potenziali rischi derivanti dall’utilizzo di librerie di codice di terze parti nelle loro app senza controllare le falle di sicurezza. Gli sviluppatori spesso non creano l’intera app da soli, ma risparmiano tempo utilizzando codice di terze parti per gestire compiti comuni come l’elaborazione di immagini e suoni, la connettività di rete, e altro ancora. Tuttavia, il codice di terze parti contiene spesso delle vulnerabilità che potrebbero portare alla creazione di falle nell’app, come in questo caso con Instagram.

Comunicazione responsabile

I ricercatori hanno comunicato in modo responsabile le loro scoperte a Facebook, il proprietario di Instagram. Facebook ha prontamente riconosciuto il problema, descrivendo la vulnerabilità come un “Integer Overflow che porta all’Heap Buffer Overflow”. Facebook ha rilasciato una patch per rimediare alla vulnerabilità sulle nuove versioni dell’applicazione Instagram su tutte le piattaforme. Per garantire che un numero sufficiente di utenti Instagram aggiornassero le loro applicazioni, placando il rischio per la sicurezza, Check Point ha atteso 6 mesi per pubblicare questi risultati.

Il commento di Facebook

Abbiamo risolto il problema e non abbiamo notato nessuna violazione. Siamo grati per l’aiuto di Check Point nel mantenere Instagram al sicuro.”

Consigli per la sicurezza

  • Aggiornare è fondamentale. Assicurati di aggiornare regolarmente le app mobile e i sistemi operativi. In questi aggiornamenti vengono inviate settimanalmente decine di patch di sicurezza critiche, ognuna delle quali può avere un forte impatto sulla privacy.
  • Fai un check delle autorizzazioni. Presta maggiore attenzione alle app che richiedono autorizzazioni. È molto facile per gli sviluppatori chiedere agli utenti permessi eccessivi, ed è molto facile che gli utenti clicchino “consenti”.
  • Pensaci due volte prima di approvare. Prenditi qualche secondo e rifletti. Chiediti: “Voglio davvero dare a questa app questo tipo di accesso, ne ho davvero bisogno?” se la risposta è no, NON APPROVARE.

Articolo precedenteOPPO aggiorna le esperienze smart multi-device
Articolo successivoPillole di Doctor Apple: iOS14, un puntino verde o arancione ci avverte dell’utilizzo di fotocamera e microfono
Francesco Palmieri
Francesco Palmieri
https://www.ceotech.it
Blogger & Social Media Manager
Facebook Instagram Linkedin Twitter

ARTICOLI CORRELATIALTRO DALL'AUTORE