Bilgisayar korsanlarının akıllı telefonunuzu uzaktan nasıl hackleyebileceğini hiç merak ettiniz mi?
Bugün paylaşılan bir raporda Check Point araştırmacıları , Instagram’ın Android uygulamasında, uzaktaki saldırganların yalnızca kurbanlara özel olarak hazırlanmış bir görüntü göndererek hedeflenen bir cihaz üzerinde kontrolü ele geçirmesine olanak verebilecek kritik bir güvenlik açığı hakkında ayrıntılar açıkladı.
Daha da endişe verici olan şey ise, kusurun saldırganların yalnızca Instagram uygulaması içinde kullanıcı adına eylemler gerçekleştirmesine izin vermekle kalmıyor – kurbanın özel mesajlarını gözetlemek ve hatta hesaplarından fotoğrafları silmek veya göndermek de dahil olmak üzere – aynı zamanda cihazda rastgele kod çalıştırıyor.
Facebook tarafından yayınlanan bir tavsiyeye göre , yığın taşması güvenlik sorunu ( CVE-2020-1895 olarak izlendi , CVSS puanı: 7.8), Instagram uygulamasının 128.0.0.26.128’den önceki tüm sürümlerini etkiliyor, bu da 10 Şubat’ta daha önce yayınlandı. yıl.
Check Point Research, bugün yayınlanan bir analizde , “Bu [kusur], cihazı, hedeflenen kullanıcıları bilgisi olmadan gözetlemek için bir araca dönüştürüyor ve Instagram profillerinin kötü niyetli manipülasyonuna olanak tanıyor,” dedi .
“Her iki durumda da, saldırı, kullanıcıların gizliliğinin büyük ölçüde ihlal edilmesine yol açabilir ve itibarlarını etkileyebilir – veya daha da ciddi güvenlik risklerine yol açabilir.”
Bulguların Facebook’a bildirilmesinin ardından sosyal medya şirketi, altı ay önce yayınlanan bir yama güncellemesiyle sorunu ele aldı. Herkese açıklama, Instagram kullanıcılarının çoğunun uygulamayı güncellemesine izin vermek ve böylece bu güvenlik açığının getirebileceği riski azaltmak için tüm bu süre boyunca ertelendi.
Facebook, bu hatanın küresel olarak istismar edildiğine dair herhangi bir işaret olmadığını doğrulasa da, geliştirme, uygulamaları güncel tutmanın ve onlara verilen izinlere dikkat etmenin neden önemli olduğuna dair başka bir hatırlatmadır.
Bir Yığın Taşması Güvenlik Açığı
Check Point’e göre, bellek bozulması güvenlik açığı, Instagram’ın bir kullanıcının kamerasına, kişilerine, GPS’ine, fotoğraf kitaplığına ve mikrofonuna erişim için kapsamlı izinleri verildiğinde, virüslü cihazda herhangi bir kötü amaçlı eylem gerçekleştirmek için kullanılabilecek uzaktan kod yürütülmesine izin veriyor.
Kusurun kendisine gelince, Instagram’ın, bant genişliğini düşürmeyi ve hizmete yüklenen görüntüler için daha iyi sıkıştırma sağlamayı amaçlayan açık kaynaklı bir JPEG kodlayıcı kitaplığı olan MozJPEG’i entegre etme biçiminden kaynaklanıyor – söz konusu savunmasız işlev ( “read_jpg_copy_loop”), özel hazırlanmış boyutlara sahip kötü amaçlı bir görüntüyü ayrıştırmaya çalışır.
Bunu yaparken bir düşman, görüntüye ayrılan belleğin boyutu, üzerine yazılacak verilerin uzunluğu ve son olarak, taşan bellek bölgesinin içeriği üzerinde kontrol sahibi olabilir ve bu da saldırgana belirli bir şeyi bozma yeteneği verebilir. bir yığın içindeki konumlar ve yönlendirme kodu yürütme.
Böyle bir güvenlik açığının sonucu, kötü bir aktörün yapması gereken tek şey, bozuk bir JPEG görüntüsünü bir kurbana e-posta veya WhatsApp yoluyla göndermektir. Alıcı, görüntüyü cihaza kaydettikten ve Instagram’ı başlattıktan sonra, saldırı otomatik olarak gerçekleşir ve saldırgana uygulama üzerinde tam kontrol sağlar.
Daha da kötüsü, istismar, bir kullanıcının Instagram uygulamasını çökertmek ve cihazda yeniden kaldırılıp yeniden yüklenmedikçe erişilemez hale getirmek için kullanılabilir.
Herhangi bir şey varsa, güvenlik açığı, üçüncü taraf kitaplıkların uygulamalara ve hizmetlere dahil edilmesinin, entegrasyon doğru yapılmazsa güvenlik için zayıf bir bağlantı olabileceğinin bir göstergesidir.
Check Point’ten Gal Elbaz, “Açığa çıkan kodu bulanıklaştırmak, o zamandan beri düzeltilen bazı yeni güvenlik açıklarını ortaya çıkardı,” dedi. “Yeterince çaba sarf edilirse, bu güvenlik açıklarından birinin sıfır tıklama saldırı senaryosunda RCE için kötüye kullanılması muhtemeldir.
“Ne yazık ki, diğer hataların da kalması veya gelecekte ortaya çıkması muhtemeldir. Bu nedenle, hem işletim sistemi kitaplıklarında hem de üçüncü taraf kitaplıklarında bu ve benzer medya formatı ayrıştırma kodunun sürekli fuzz testi kesinlikle gereklidir. “
Check Point’te siber araştırma başkanı Yaniv Balmas, akıllı telefon kullanıcıları için aşağıdaki güvenlik ipuçlarını sağladı:
- Güncelleme! Güncelleme! Güncelleme! Mobil uygulamanızı ve mobil işletim sistemlerinizi düzenli olarak güncellediğinizden emin olun. Bu güncellemelerde her hafta düzinelerce kritik güvenlik yaması gönderilmektedir ve her birinin gizliliğiniz üzerinde ciddi bir etkisi olabilir.
- İzinleri izleyin. İzin isteyen uygulamalara daha çok dikkat edin. Uygulama geliştiricilerin kullanıcılardan aşırı izin istemeleri zahmetsizdir ve ayrıca kullanıcıların iki kez düşünmeden ‘İzin Ver’i tıklaması da çok kolaydır.
- Onaylar hakkında iki kez düşünün. Herhangi bir şeyi onaylamadan önce birkaç saniyenizi düşünün. Sor: “Bu uygulamaya gerçekten bu tür bir erişim vermek istiyor muyum, gerçekten ihtiyacım var mı?” Cevap hayır ise, ONAYLAMAYIN.
