הפרצה שאפשרה להשתלט לכם על הנייד דרך האינסטגרם: חוקרי הגנת הסייבר של חברת צ'ק פוינט איתרו חולשת אבטחה חמורה באפליקציה הפופולרית, שלה יותר ממיליארד משתמשים ברחבי העולם. היא נמצאה בקוד של אחת הספריות בהן משתמשת אינסטגרם – Mozjpeg – שמאפשרת העלאת תמונות לאפליקציה.

לעדכונים נוספים ושליחת הסיפורים שלכם - היכנסו לעמוד הפייסבוק של החדשות


החולשה איפשרה השתלטות מרחוק על האפליקציה ועל מכשיר הטלפון הסלולרי שבו היא מאוחסנת. עם קבלת השליטה מרחוק, התוקף יכול להשתמש בנייד כבשלו ולהופכו למכשיר ריגול לכל דבר, באופן שמנגיש לו גישה לכלל המידע שנמצא על המכשיר ואת היכולות השונות שבו.

זה התאפשר בגלל שכל אדם שמוריד אינסטגרם (וכל אחת מהרשתות החברתיות הדומות) נותן הרשאה לאפליקציה כמעט לכל דבר בנייד שלו וכשיש תקיפה זדונית – כל המכשיר הופך לכלי ריגול.

המתקפה עבדה באופן הבא: התוקף שולח תמונה המכילה קוד זדוני לקורבן דרך אי מייל, וואטסאפ, הודעה או בכל פלטפורמת תקשורת אחרת. התמונה נשמרת על מכשיר הטלפון הנייד אוטומטית או באופן ידני (אפשרויות אוטומטיות יכולות להיות למשל הגדרת ברירת המחדל להורדת תמונות של ווטסאפ, הגדרת ברירת המחדל של קבלת תמונה בהודעה של אנדרואיד או הגדרת ברירת המחדל של קבלת תמונה במייל באנדרואיד).

האקר, מתקפת סייבר (צילום: By Dafna A.meron, shutterstock)
האקרים מקבלים שליטה מלאה על הנייד | צילום: By Dafna A.meron, shutterstock

הקורבן פותח את אפליקציית אינסטגרם לשימוש רגיל ובכך מאתחל את ניצול החולשה, באופן שמאפשר השתלטות על המכשיר. השליטה על האינסטגרם של הקורבן וכן על המכשיר שבו מאוחסנת האפליקציה היא רחבת היקף, בשל העובדה שהאפליקציה מבקשת הרשאות רבות על המכשיר, ומאפשרת לתוקף לקבל גישה ליכולות רבות של הטלפון הנייד.

החל ממיקום הקורבן, דרך הפעלת מצלמה ועד לגישה לכלל התמונות והסרטונים השמורים על המכשיר - לכל אלה מקבל התוקף גישה קלה. בנוסף, ניצול החולשה מאפשר להקריס את האפליקציה ולהוציאה מכלל שימוש עד למחיקתה מהמכשיר.

חוקרי צ'ק פוינט עדכנו את פייסבוק בדבר החולשה בחודש בפברואר והחברה טיפלה בנושא במהירות, באמצעות עדכון אבטחה שנועד לחסום את החולשה בגרסאות מעודכנות של אינסטגרם. בשל העובדה שמדובר בחולשה חמורה באפליקציה פופולרית והעובדה שמדובר בעדכון שאינו אוטומטי ודורש מהמשתמשים להוריד אותו, צ'ק פוינט המתינה 6 חודשים עם הפרסום (3 חודשים מעבר לזמן המקובל לעדכון וטיפול בחולשות עד פרסומן), בכדי לצמצם את הסיכון הפוטנציאלי הנשקף מהחולשה.

יניב בלמס, מנהל מחלקת מחקר סייבר בצ'ק פוינט : "אפליקציות פופולריות נחשבות ל'מטרות זהב' למדינות וגופי תקיפה גדולים, שכן הן מכילות מידע אישי רב עליהן, וכן מבקשות סדרה ארוכה במיוחד של הרשאות ונגישות על המכשיר עליו הן מותקנות. מבחינה זו, חולשה באפליקציה שכזו מהווה פתח להתקפה מסוכנת במיוחד".

פייסבוק מסרה בתגובה כי "תיקנו את העניין ואין בידינו כל הוכחה על ניצול שנעשה בו. אנו מודים לצ'ק פוינט על הסיוע בשמירה על אינסטגרם בטוחה".