I ricercatori di Check Point Software Technologies hanno rilevato una vulnerabilità critica nell’elaborazione delle immagini di Instagram, che avrebbe consentito agli hacker di utilizzare una singola immagine per appropriarsi di account Instagram e trasformare il telefono di una vittima in uno strumento di spionaggio per accedere alla posizione GPS, ai contatti telefonici e alla fotocamera.
Check Point ha identificato una vulnerabilità critica in Instagram, la popolare app con oltre 1 miliardo di utenti in tutto il mondo. La vulnerabilità avrebbe dato a un aggressore la possibilità di appropriarsi di un account Instagram e trasformare il telefono in uno strumento per spiare la vittima, semplicemente con l’invio di un’immagine.
Quando questa viene salvata e aperta nell’app Instagram, l’exploit darebbe all’hacker pieno accesso ai direct e alle immagini Instagram della vittima, consentendogli di pubblicare o cancellare le immagini a piacimento, oltre a dare accesso ai contatti della rubrica, alla fotocamera e alla geolocalizzazione.
Come funziona l’attacco
Per sfruttare la vulnerabilità, all’aggressore sarebbe bastata una sola immagine dannosa. I ricercatori hanno riassunto il metodo di attacco in tre fasi:
- L’aggressore invia un’immagine a un target preciso via mail, WhatsApp o un’altra piattaforma di messaggistica
- L’immagine viene salvata sul cellulare dell’utente – in modo automatico o manuale, a seconda del metodo di invio, del tipo di telefono e della configurazione. Un’immagine inviata tramite WhatsApp, ad esempio, verrà salvata automaticamente sul telefono di default su tutte le piattaforme.
- La vittima apre l’app Instagram, attivando l’exploit, dando all’aggressore l’accesso completo per il controllo a distanza
Controllo totale di Instagram e il telefono che si trasforma in una spia
La vulnerabilità conferisce all’aggressore il pieno controllo dell’app Instagram, consentendogli di intraprendere azioni senza il consenso dell’utente, tra cui la lettura di tutti i direct sull’account Instagram, l’eliminazione o la pubblicazione di foto a piacimento o la manipolazione dei dettagli del profilo dell’account.
A Instagram vengono concesse parecchie autorizzazioni che funzionano come apripista verso i telefoni degli utenti, quindi un aggressore potrebbe anche utilizzare la vulnerabilità per accedere ai contatti telefonici, ai dati di geolocalizzazione, alla fotocamera e ai file memorizzati sul dispositivo, trasformando il telefono in un perfetto strumento di spionaggio.
Con un exploit elementare, l’hacker potrebbe bloccare l’app di un utente, negandogli l’accesso fino a quando non la cancellerà dal suo dispositivo e la reinstallerà, causando disagi e possibili perdite di dati.
Pericolo in caso di utilizzo di codice di terze parti
Check Point ha trovato la vulnerabilità in Mozjpeg, un decodificatore open source JPEG che viene utilizzato da Instagram per caricare immagini nell’applicazione. I ricercatori vogliono mettere in guardia gli sviluppatori di app sui potenziali rischi derivanti dall’utilizzo di librerie di codice di terze parti nelle loro app senza controllare le falle di sicurezza. Gli sviluppatori spesso non creano l’intera app da soli, ma risparmiano tempo utilizzando codice di terze parti per gestire compiti comuni come l’elaborazione di immagini e suoni, la connettività di rete, e altro ancora. Tuttavia, il codice di terze parti contiene spesso delle vulnerabilità che potrebbero portare alla creazione di falle nell’app, come in questo caso con Instagram.
Comunicazione responsabile
I ricercatori hanno comunicato in modo responsabile le loro scoperte a Facebook, il proprietario di Instagram. Facebook ha prontamente riconosciuto il problema, descrivendo la vulnerabilità come un “Integer Overflow che porta all’Heap Buffer Overflow”. Facebook ha rilasciato una patch per rimediare alla vulnerabilità sulle nuove versioni dell’applicazione Instagram su tutte le piattaforme. Per garantire che un numero sufficiente di utenti Instagram aggiornassero le loro applicazioni, placando il rischio per la sicurezza, Check Point ha atteso 6 mesi per pubblicare questi risultati.
Yaniv Balmas, Head of Cyber Research di Check Point ha detto: “Dopo aver condotto questa ricerca, sono emersi due punti. In primo luogo, le librerie di codici di terze parti possono rappresentare una seria minaccia. Invitiamo vivamente gli sviluppatori di applicazioni software a controllare le librerie di codice di terze parti che utilizzano per costruire le loro infrastrutture applicative e di assicurarsi che la loro integrazione sia fatta correttamente. Il codice di terze parti è utilizzato praticamente in ogni singola app esistente, ed è molto facile perdersi le gravi minacce in esso contenute. Oggi Instagram, domani? Chi lo sa!
In secondo luogo, le persone devono dedicare del tempo a controllare le autorizzazioni di ogni applicazione presente sul proprio dispositivo”. Il messaggio l’applicazione sta chiedendo l’autorizzazione può sembrare un peso, ed è facile cliccare su Sì e dimenticarsene. Però, in pratica, questa è una delle linee di difesa più forti che tutti hanno contro i cyber-attacchi mobile, ed esorto tutti di prendersi un minuto per pensare: voglio davvero dare a questa app l’accesso alla mia fotocamera e al mio microfono, e così via?”
Il commento di Facebook “Abbiamo risolto il problema e non abbiamo notato nessuna violazione. Siamo grati per l’aiuto di Check Point nel mantenere Instagram al sicuro.”
Consigli per la sicurezza
- Aggiornare è fondamentale. Assicurati di aggiornare regolarmente le app mobile e i sistemi operativi. In questi aggiornamenti vengono inviate settimanalmente decine di patch di sicurezza critiche, ognuna delle quali può avere un forte impatto sulla privacy.
- Fai un check delle autorizzazioni. Presta maggiore attenzione alle app che richiedono autorizzazioni. È molto facile per gli sviluppatori chiedere agli utenti permessi eccessivi, ed è molto facile che gli utenti clicchino “consenti”.
- Pensaci due volte prima di approvare. Prenditi qualche secondo e rifletti. Chiediti: “Voglio davvero dare a questa app questo tipo di accesso, ne ho davvero bisogno?” se la risposta è no, NON APPROVARE.