תוכן פרסומי
ראשי » חדשות » אבטחת מידע וסייבר » חולשת אבטחה חמורה באינסטגרם – הופכת את הטלפון הנייד לכלי ריגול
גם בלייט. אינסגרם

חולשת אבטחה חמורה באינסטגרם – הופכת את הטלפון הנייד לכלי ריגול

חוקרי צ'ק פוינט איתרו חולשה במנגנון עיבוד התמונות של הפלטפורמה, שאפשרה לתוקף להשתלט על האפליקציה וסמארטפון הקורבן ● פייסבוק הבעלים הוציאה עדכון שחסם את החולשה ● צ'ק פוינט המתינה עם פרסום החשיפה 6 חודשים, כדי שכמה שיותר משתמשים יורידו את העדכון

מאת 24 בספטמבר 2020, 12:55 א+ / א- הדפסה הדפסה
פייסבוק טוויטר ווטסאפ פינטרסט לינקדאין דוא״ל
צ'ק פוינט

צ'ק פוינט

חוקרי הגנת הסייבר של צ'ק פוינט (Check Point) איתרו חולשת אבטחה חמורה באינסנטגרם (Instagram). החולשה באפליקציה, לה יותר ממיליארד משתמשים ברחבי העולם, היתה בקוד של אחת הספריות בהן משתמשת אינסטגרם – Mozjpeg – אשר מאפשרת העלאת תמונות לאפליקציה.

החולשה איפשרה להאקרים השתלטות מרחוק (RCE, Remote Control Execution) על האפליקציה ומכשיר הטלפון שבו היא מאוחסנת. עם קבלת השליטה מרחוק, התוקף יכול להשתמש במכשיר הטלפון כבשלו ולהופכו למכשיר ריגול לכל דבר ועניין, באופן שמנגיש לתוקף את כלל המידע שנמצא על המכשיר ואת היכולות השונות שבו.

המתקפה עבדה באופן הבא: התוקף שולח תמונה המכילה נוזקה לקורבן במייל, ווטסאפ, מסרון או בכל פלטפורמת תקשורת אחרת. אז, התמונה נשמרת על הטלפון הנייד באופן אוטומטי, או ידני – אפשרויות אוטומטיות יכולות להיות, למשל, הגדרת ברירת המחדל להורדת תמונות של ווטסאפ, הגדרת ברירת המחדל של קבלת תמונה בסמס של אנדרואיד, או הגדרת ברירת המחדל של קבלת תמונה במייל באנדרואיד. לאחר מכן, הקורבן פותח את אפליקציית אינסטגרם לשימוש רגיל. בדרך זו הוא מאתחל את ניצול החולשה באופן שמאפשר השתלטות על המכשיר.

השליטה על חשבון האינסטגרם של הקורבן, וכן על המכשיר בו היא מאוחסנת בעקבות החולשה, היא רחבת היקף, ציינו חוקרי ענקית האבטחה הישראלית. זאת, בשל העובדה שהאפליקציה מבקשת הרשאות רבות על המכשיר בו היא מאוחסנת, ומאפשרת לתוקף לקבל גישה ליכולות רבות של מכשיר הטלפון הנייד – החל ממיקום הקורבן והפעלת מצלמה, ועד לגישה לכלל התמונות והסרטונים השמורים על המכשיר. כמו כן, ניצול החולשה מאפשר "להקריס" את האפליקציה ולהוציאה מכלל שימוש, עד למחיקתה מהמכשיר.

קוראים למשתמשי אינסטגרם לוודא שהגרסה של האפליקציה מעודכנת

חוקרי צ'ק פוינט עדכנו את הבעלים של אינסטגרם, פייסבוק (Facebook), בדבר החולשה בפברואר השנה. החברה טיפלה בנושא במהירות, באמצעות עדכון אבטחה שנועד לחסום את החולשה בגרסאות מעודכנות של אינסטגרם.

כיוון שמדובר בחולשה חמורה באפליקציה פופולרית, וכן שמדובר בעדכון שאינו אוטומטי ודורש מהמשתמשים להוריד אותו – צ'ק פוינט המתינה שישה חודשים עם הפרסום. מדובר בשלושה חודשים מעבר לזמן המקובל לעדכון וטיפול בחולשות עד פרסומן. זאת, לדברי החברה, כדי לצמצם את הסיכון הפוטנציאלי הנשקף מהחולשה.

יניב בלמס, מנהל מחלקת מחקר סייבר בצ'ק פוינט. צילום: יח"צ

יניב בלמס, מנהל מחלקת מחקר סייבר בצ'ק פוינט. צילום: יח"צ

לדברי יניב בלמס, מנהל מחלקת מחקר סייבר בצ'ק פוינט, "אפליקציות פופולריות נחשבות ל'מטרות זהב' עבור מדינות וגופי תקיפה גדולים, שכן הן מכילות מידע אישי רב עליהן. הן מבקשות סדרה ארוכה במיוחד של הרשאות ונגישות על המכשיר עליו הן מותקנות. לכן, חולשה באפליקציה שכזו מהווה פתח להתקפה מסוכנת במיוחד. משתמשים רבים כלל לא מסתכלים על ההרשאות שהם מאפשרים לאפליקציות. אנו ממליצים לעשות זאת, כדי להבטיח שהם מודעים לסיכון שהם נוטלים על עצמם. אנו קוראים לכלל משתמשי אינסטגרם לוודא שהם משתמשים בגרסה מעודכנת של האפליקציה, כדי להבטיח שהחולשה שמצאנו לא שמישה על המכשיר שלהם".

דובר חברת פייסבוק מסר, כי "הדו"ח של צ׳ק פוינט מפריז בתיאור התקלה שתוארה בפנינו. החקירה העצמאית של צ'ק פוינט לא הצליחה לנצל לרעה את הבאג שהתגלה בשום צורה. הבעיה נפתרה ואין לנו כל סיבה להאמין שמישהו הושפע ממנה".

חולשת אבטחה חמורה באינסטגרם – הופכת את הטלפון הנייד לכלי ריגול Reviewed by on . [caption id="attachment_317737" align="alignleft" width="300"] צ'ק פוינט[/caption] חוקרי הגנת הסייבר של צ'ק פוינט (Check Point) איתרו חולשת אבטחה חמורה באינסנטג [caption id="attachment_317737" align="alignleft" width="300"] צ'ק פוינט[/caption] חוקרי הגנת הסייבר של צ'ק פוינט (Check Point) איתרו חולשת אבטחה חמורה באינסנטג Rating: 0

הגיבו