Уязвимость в Instagram позволяла шпионить за пользователем

Компания Check Point выявила в популярном сервисе Instagram критическую уязвимость, которая может привести к захвату устройства жертвы киберзлоумышленниками. Об этом говорится в пресс-релизе компании, поступившем в «Газету.Ru».

Для осуществления этой атаки хакер отправлял пользователю зараженную фотографию через электронную почту или любой мессенджер. Снимок сохранялся на устройстве автоматически или получателем вручную.

После этого, когда жертва открывала Instagram и пыталась загрузить вредоносное фото, мошенник инициировал атаку и в результате мог управлять аккаунтом жертвы без ее ведома, получал доступ к контактам телефона, камере и данным о местоположении пользователя.

Сообщается, что исследователи Check Point обнаружили данную уязвимость в Mozjpeg — декодере JPEG с открытым исходным кодом, который Instagram использует для загрузки изображений в приложение.

«Разработчики не всегда пишут все приложение самостоятельно. Часто они экономят время, используя сторонний код для решения общих задач, таких как обработка изображений и звука, подключение к сети и многое другое. Однако специалисты Check Point предупреждают разработчиков о потенциальных рисках использования сторонних кодов в своих приложениях без предварительной проверки их безопасности», — говорится в исследовании компании.

Как сообщил руководитель отдела кибер-исследований Check Point Янив Балмас, в результате исследования компания пришла к двум выводам.

«Во-первых, сторонний код в составе приложения может представлять серьезную угрозу. Мы настоятельно призываем разработчиков проверять сторонние библиотеки кода. Сторонний код используется практически в каждом приложении, поэтому очень легко пропустить угрозу. 

Во-вторых, пользователям следует внимательно относиться к разрешению доступа, которое они дают приложениям.

Я рекомендую подумать некоторое время, прежде чем давать согласие приложению на доступ к тем или иным функциям или данным на устройстве, поскольку так вы можете обезопасить себя от потенциальной атаки», — считает Балмас.

Уникальность уязвимости, обнаруженной Check Point, заключается в том, что Instagram имеет постоянный доступ к галерее пользователя смартфона, камере и микрофону — за счет этого при ее эксплуатации хакер получает постоянный доступ к микрофону пользователя, поясняет ведущий менеджер по продвижению Crosstech Solutions Group Ильяс Киреев. Последний постоянно осуществляет запись окружения пользователя в рамках работы сервиса аудио-дактилоскопии (пользователь с этим соглашается в лицензионном соглашении при использовании приложения), а по ключевым словам пользователя Facebook, владелец сервисов Instagram и WhatsApp, выдает релевантную рекламу на площадках социальных сетей.

Данная уязвимость показывает первые шаги для смены тренда в сфере киберпреступлений, считает директор департамента информационной безопасности Oberon Евгений Суханов. До недавнего времени основным каналом подобных атак являлась корпоративная почта пользователей, куда злоумышленники отправляли офисные документы, фото или другой формат файлов с вредоносным исполняемым содержимым. Мобильные операционные системы считались наиболее защищёнными с связи с их закрытостью.

Однако, согласно статистике, Kaspersky Security Network за второе полугодие 2020 года, выявлено более 1,2 млн вредоносных установочных пакетов, заблокировано порядка 14,3 млн «мобильных» атак.

«Таким образом, с развитием рынка приложений и социальных коммуникаций мы видим новый вектор атак — через уязвимости в самих приложениях. Такому их типу подвержены все мобильные приложения, которые в своей работе позволяют пользователю загружать данные. Большие корпорации – владельцы приложений – имеют довольно высокий уровень защиты, потому что внутри таких компаний выстроены процессы анализа кода этого ПО и уязвимостей до публикации приложения или обновления к нему. Этого нельзя сказать о небольших стартапах, которые только воплотили свою бизнес-идею в виде такого приложения. Лучшей стратегией защиты для пользователей является управление правами приложений на мобильном устройстве с принципом «разумной достаточности». Не предоставляйте им доступ к управлению функциями телефона, которые ему не требуются для работы», — рекомендует собеседник «Газеты.Ru».

Известно, что ИБ-исследователи уведомили об этой уязвимости Facebook, владеющую Instagram, в результате чего был выпущен патч, устраняющий брешь в безопасности приложения. Если у вас не подключено автообновление сервисов, рекомендуется вручную обновить Instagram, чтобы исключить риски заражения.