Trovata una grave falla di sicurezza nelle app di Instagram, ma Facebook ha già risolto il problema
Nelle app di Instagram per Android e iOS è stata trovata una grave vulnerabilità: basta una immagine per prenderne il completo possesso e rubare il profilo dell’utente. Ma non solo: con lo stesso metodo è anche possibile prendere il controllo dell’intero smartphone e trasformalo in uno strumento di spionaggio completo.
E’ quanto ha scoperto CheckPoint Technologies, che ha comunicato tutto a Facebook affinché l’azienda potesse pubblicare una patch per chiudere questa enorme falla di sicurezza nelle sue app. Tecnicamente si tratta di una vulnerabilità “RCE“, cioè Remote Code Execution, quindi sfruttandola un hacker potrebbe eseguire da remoto del codice pericoloso sul nostro smartphone attraverso l’app di Instagram. La porta d’ingresso dell’hacker è proprio una semplice immagine, opportunamente modificata per sfruttare un bug di Mozjpeg. Quest’ultimo è il decoder Jpeg open source che l’app di Instagram usa per visualizzare le immagini sui nostri smartphone.
InstaHack: come funziona e cosa si rischia
Come è facile capire, quindi, il vero e proprio bug di sicurezza sta dentro Mozjpeg e non dentro l’app di Instagram. Quest’ultima, però, per funzionare sugli smartphone richiede (e ottiene) talmente tante autorizzazioni che l’hacker, una volta “entrato" nell’app tramite la falla in Mozjpeg, può fare di tutto.
Lo scenario di attacco ipotizzato da CheckPoint per testare la vulnerabilità è abbastanza usuale: l’utente riceve l’immagine modificata tramite email, WhatsApp o qualunque altro metodo e la salva sul proprio smartphone. Then he opens it in the Instagram app, to share it on the social.
At this point, the Mozjpeg vulnerability comes into play and the attack goes into full swing: all permissions granted to the Instagram app are "passed" to the attacker, who can first take full possession of the user's Instagram profile.
Then, as if that wasn't enough, it can access everything Instagram can access: photos, videos and data stored in the device's memory, contacts, messages sent and received, and more.
Instagram has fixed the problem
As per the well-established practice in the electronic security industry CheckPoint notified the Facebook group of this vulnerability over six months ago. The security patch that fixes the serious bug has already been sent, downloaded and installed by Instagram users, who are therefore now safe.
To date, only those who have disabled updates to the Instagram app for several months are at risk: in cases like this it is essential to update the app to the latest version available, otherwise you risk a lot.