חוקרי הגנת הסייבר של חברת צ'ק פוינט איתרו חולשת אבטחה חמורה באחת מהאפליקציות הפופולריות בעולם - אינסנטגרם. החולשה באפליקציה, לה יותר ממיליארד משתמשים ברחבי העולם, היתה קיימת בקוד של אחת הספריות בהן משתמשת אינסטגרם - Mozjpeg - אשר מאפשרת העלאת תמונות לאפליקציה. החולשה איפשרה פוטנציאלית השתלטות מרחוק על האפליקציה ומכשיר הטלפון שבו היא מאוחסנת בשיטת Remote Control Execution (RCE). עם קבלת השליטה מרחוק, התוקף יכול להשתמש במכשיר הטלפון כבשלו ולהופכו למכשיר ריגול לכל דבר ועניין, באופן שמנגיש לתוקף את כלל המידע שנמצא על המכשיר ואת היכולות השונות שבו.
"אפליקציות פופולריות נחשבות ל'מטרות זהב' למדינות וגופי תקיפה גדולים, שכן הן מכילות מידע אישי רב עליהן, וכן מבקשות סדרה ארוכה במיוחד של הרשאות ונגישות על המכשיר עליו הן מותקנות. מבחינה זו, חולשה באפליקציה שכזו מהווה פתח להתקפה מסוכנת במיוחד", אמר יניב בלמס, מנהל מחלקת מחקר סייבר בצ'ק פוינט. "משתמשים רבים כלל לא מסתכלים על ההרשאות שהם מאפשרים לאפליקציות, ואנו ממליצים לעשות זאת בכדי להבטיח שהם מודעים לסיכון שהם נוטלים על עצמם", הוסיף.
חוקרי צ'ק פוינט עדכנו את פייסבוק בדבר החולשה בחודש בפברואר והחברה טיפלה בנושא במהירות, באמצעות עדכון אבטחה שנועד לחסום את החולשה בגרסאות מעודכנות של אינסטגרם. בשל העובדה שמדובר בחולשה חמורה באפליקציה פופולרית וכן שמדובר בעדכון שאינו אוטומטי ודורש מהמשתמשים להוריד אותו, צ'ק פוינט המתינה שישה חודשים עם הפרסום (שלושה חודשים מעבר לזמן המקובל לעדכון וטיפול בחולשות עד פרסומן), כדי לצמצם את הסיכון הפוטנציאלי הנשקף מהחולשה.
שליחת תמונה עם קוד זדוני: כך המתקפה עבדה
המתקפה עבדה על ידי כך שהתוקף שולח תמונה המכילה קוד זדוני לקורבן דרך אי מייל, וואסטאפ, סמס או בכל פלטפורמת תקשורת אחרת. התמונה נשמרת על מכשיר הטלפון הנייד אוטמאטית או באופן ידני,(אפשרויות אוטמטיות יכולות להיות למשל הגדרת ברירת המחדל להורדת תמונות של וואטסאפ, הגדרת ברירת המחדל של קבלת תמונה בסמס של אנדרואיד או הגדרת ברירת המחדל של קבלת תמונה במייל באנדרואיד).
הקורבן פותח את אפליקציית אינסטגרם לשימוש רגיל ובכך מאתחל את ניצול החולשה, באופן שמאפשר השתלטות על המכשיר. השליטה על האינסטגרם של הקורבן וכן על המכשיר בו היא מאוחסנת בעקבות החולשה היא רחבת היקף, בשל העובדה שהאפליקציה מבקשת הרשאות רבות על המכשיר בו היא מאוחסנת, ומאפשרת לתוקף לקבל גישה ליכולות רבות של מכשיר הטלפון הנייד - החל ממיקום הקורבן והפעלת מצלמה ועד לגישה לכלל התמונות והסרטונים השמורים על המכשיר. כמו כן, ניצול החולשה מאפשר להקריס את האפליקציה ולהוציאה מכלל שימוש עד למחיקתה מהמכשיר.
מפייסבוק נמסר: "הדו"ח של צ'ק פוינט מפריז בתיאור התקלה שתוארה בפנינו. החקירה העצמאית של צ'קפוינט לא הצליחה לנצל לרעה את הבאג שהתגלה בשום צורה. הבעיה נפתרה ואין לנו כל סיבה להאמין שמישהו הושפע ממנה".