חולשת אבטחה חמורה באינסטגרם – הופכת את הטלפון הנייד לכלי ריגול

צ'ק פוינט

חוקרי הגנת הסייבר של צ'ק פוינט (Check Point) איתרו חולשת אבטחה חמורה באינסנטגרם (Instagram). החולשה באפליקציה, לה יותר ממיליארד משתמשים ברחבי העולם, היתה בקוד של אחת הספריות בהן משתמשת אינסטגרם – Mozjpeg – אשר מאפשרת העלאת תמונות לאפליקציה.

החולשה איפשרה להאקרים השתלטות מרחוק (RCE, Remote Control Execution) על האפליקציה ומכשיר הטלפון שבו היא מאוחסנת. עם קבלת השליטה מרחוק, התוקף יכול להשתמש במכשיר הטלפון כבשלו ולהופכו למכשיר ריגול לכל דבר ועניין, באופן שמנגיש לתוקף את כלל המידע שנמצא על המכשיר ואת היכולות השונות שבו.

המתקפה עבדה באופן הבא: התוקף שולח תמונה המכילה נוזקה לקורבן במייל, ווטסאפ, מסרון או בכל פלטפורמת תקשורת אחרת. אז, התמונה נשמרת על הטלפון הנייד באופן אוטומטי, או ידני – אפשרויות אוטומטיות יכולות להיות, למשל, הגדרת ברירת המחדל להורדת תמונות של ווטסאפ, הגדרת ברירת המחדל של קבלת תמונה בסמס של אנדרואיד, או הגדרת ברירת המחדל של קבלת תמונה במייל באנדרואיד. לאחר מכן, הקורבן פותח את אפליקציית אינסטגרם לשימוש רגיל. בדרך זו הוא מאתחל את ניצול החולשה באופן שמאפשר השתלטות על המכשיר.

השליטה על חשבון האינסטגרם של הקורבן, וכן על המכשיר בו היא מאוחסנת בעקבות החולשה, היא רחבת היקף, ציינו חוקרי ענקית האבטחה הישראלית. זאת, בשל העובדה שהאפליקציה מבקשת הרשאות רבות על המכשיר בו היא מאוחסנת, ומאפשרת לתוקף לקבל גישה ליכולות רבות של מכשיר הטלפון הנייד – החל ממיקום הקורבן והפעלת מצלמה, ועד לגישה לכלל התמונות והסרטונים השמורים על המכשיר. כמו כן, ניצול החולשה מאפשר "להקריס" את האפליקציה ולהוציאה מכלל שימוש, עד למחיקתה מהמכשיר.

קוראים למשתמשי אינסטגרם לוודא שהגרסה של האפליקציה מעודכנת

חוקרי צ'ק פוינט עדכנו את הבעלים של אינסטגרם, פייסבוק (Facebook), בדבר החולשה בפברואר השנה. החברה טיפלה בנושא במהירות, באמצעות עדכון אבטחה שנועד לחסום את החולשה בגרסאות מעודכנות של אינסטגרם.

כיוון שמדובר בחולשה חמורה באפליקציה פופולרית, וכן שמדובר בעדכון שאינו אוטומטי ודורש מהמשתמשים להוריד אותו – צ'ק פוינט המתינה שישה חודשים עם הפרסום. מדובר בשלושה חודשים מעבר לזמן המקובל לעדכון וטיפול בחולשות עד פרסומן. זאת, לדברי החברה, כדי לצמצם את הסיכון הפוטנציאלי הנשקף מהחולשה.

יניב בלמס, מנהל מחלקת מחקר סייבר בצ'ק פוינט. צילום: יח"צ

לדברי יניב בלמס, מנהל מחלקת מחקר סייבר בצ'ק פוינט, "אפליקציות פופולריות נחשבות ל'מטרות זהב' עבור מדינות וגופי תקיפה גדולים, שכן הן מכילות מידע אישי רב עליהן. הן מבקשות סדרה ארוכה במיוחד של הרשאות ונגישות על המכשיר עליו הן מותקנות. לכן, חולשה באפליקציה שכזו מהווה פתח להתקפה מסוכנת במיוחד. משתמשים רבים כלל לא מסתכלים על ההרשאות שהם מאפשרים לאפליקציות. אנו ממליצים לעשות זאת, כדי להבטיח שהם מודעים לסיכון שהם נוטלים על עצמם. אנו קוראים לכלל משתמשי אינסטגרם לוודא שהם משתמשים בגרסה מעודכנת של האפליקציה, כדי להבטיח שהחולשה שמצאנו לא שמישה על המכשיר שלהם".

דובר חברת פייסבוק מסר, כי "הדו"ח של צ׳ק פוינט מפריז בתיאור התקלה שתוארה בפנינו. החקירה העצמאית של צ'ק פוינט לא הצליחה לנצל לרעה את הבאג שהתגלה בשום צורה. הבעיה נפתרה ואין לנו כל סיבה להאמין שמישהו הושפע ממנה".