Basta una immagine per rubarci il profilo Instagram
Trovata una grave falla di sicurezza nelle app di Instagram, ma Facebook ha già risolto il problema
Nelle app di Instagram per Android e iOS è stata trovata una grave vulnerabilità: basta una immagine per prenderne il completo possesso e rubare il profilo dell’utente. Ma non solo: con lo stesso metodo è anche possibile prendere il controllo dell’intero smartphone e trasformalo in uno strumento di spionaggio completo.
E’ quanto ha scoperto CheckPoint Technologies, che ha comunicato tutto a Facebook affinché l’azienda potesse pubblicare una patch per chiudere questa enorme falla di sicurezza nelle sue app. Tecnicamente si tratta di una vulnerabilità “RCE“, cioè Remote Code Execution, quindi sfruttandola un hacker potrebbe eseguire da remoto del codice pericoloso sul nostro smartphone attraverso l’app di Instagram. La porta d’ingresso dell’hacker è proprio una semplice immagine, opportunamente modificata per sfruttare un bug di Mozjpeg. Quest’ultimo è il decoder Jpeg open source che l’app di Instagram usa per visualizzare le immagini sui nostri smartphone.
InstaHack: come funziona e cosa si rischia
Come è facile capire, quindi, il vero e proprio bug di sicurezza sta dentro Mozjpeg e non dentro l’app di Instagram. Quest’ultima, però, per funzionare sugli smartphone richiede (e ottiene) talmente tante autorizzazioni che l’hacker, una volta “entrato” nell’app tramite la falla in Mozjpeg, può fare di tutto.
Lo scenario di attacco ipotizzato da CheckPoint per testare la vulnerabilità è abbastanza usuale: l’utente riceve l’immagine modificata tramite email, WhatsApp o qualunque altro metodo e la salva sul proprio smartphone. Poi la apre nell’app di Instagram, per condividerla sul social.
A questo punto entra in gioco la vulnerabilità di Mozjpeg e l’attacco entra nel vivo: tutte le autorizzazioni concesse all’app di Instagram vengono “passate” all’attaccante, che può innanzitutto prendere il pieno possesso del profilo Instagram dell’utente.
Poi, come se non bastasse, può accedere a tutto ciò a cui può accedere Instagram: foto, video e dati archiviati nella memoria del dispositivo, contatti, messaggi inviati e ricevuti e molto altro.
Instagram ha risolto il problema
Come prevede la prassi ormai consolidata nell’industria della sicurezza elettronica CheckPoint ha comunicato, oltre sei mesi fa, questa vulnerabilità al gruppo Facebook. La patch di sicurezza che risolve il grave bug è stata già inviata, scaricata e installata dagli utenti di Instagram, che sono quindi ormai al sicuro.
Ad oggi rischia solo chi ha disabilitato gli aggiornamenti dell’app di Instagram da diversi mesi: in casi del genere è fondamentale procedere all’update dell’app all’ultima versione disponibile, altrimenti si rischia grosso.
