كشف تقرير بحثي جديد صادر عن Checkpoint عن خطأ موجود في تطبيق Instagram يمكن استخدامه من قبل المتسللين لاستغلال المستهلكين.
يضم تطبيق مشاركة الصور / الفيديو أكثر من مليار مستخدم في جميع أنحاء العالم وتم تحديد الخطأ داخل التطبيق من قبل الباحثين الأمنيين في Checkpoint في وقت سابق من هذا العام. أشار تقرير حديث أيضا إلى أن Facebook كان يستخدم Instagram للتجسس على مستخدميه.
إذا كان هذا هو نوع الأخطاء أو نقاط الضعف التي يمتلكها تطبيق ، مثل Instagram ، فإن السؤال الرئيسي الذي يطرح نفسه هنا هو ما إذا كان تطبيق الوسائط الاجتماعية لا يزال آمنا للاستخدام؟
كانت الثغرة الخطيرة ستمنح المهاجم القدرة على الاستيلاء على حساب الضحية على Instagram وتحويله إلى أداة تجسس ، وذلك ببساطة عن طريق إرسال ملف صورة ضار إليهم. عندما يتم حفظ الصورة وفتحها في تطبيق Instagram ، فإن الاستغلال يمنح المتسلل الوصول الكامل إلى رسائل وصور الضحية على Instagram ، مما يسمح له بنشر أو حذف الصور حسب الرغبة ، بالإضافة إلى منح الوصول إلى جهات اتصال الهاتف والكاميرا و بيانات الموقع.
لا ينبغي أن يكون هذا النوع من الأخطاء موجودا في التطبيق في المقام الأول ، ولكن حتى لو كان موجودا ، فإن الشيء الوحيد الذي يسمح للمتسللين باستغلال المستخدمين بهذه الطريقة هو الأذونات التي يطلب منك التطبيق منحها.
على سبيل المثال ، يجب أن يكون تطبيق الخرائط قادرا على الوصول إلى موقعك ، ولكن لا ينبغي أن يكون له حق الوصول إلى الميكروفون الخاص بك ؛ يجب أن يكون تطبيق المواعدة قادرا على الوصول إلى الكاميرا الخاصة بك ولا شيء آخر ، وما إلى ذلك. يمتلك تطبيق مثل Instagram هنا جميع الأذونات التي يطلبها المتسلل تقريبا لاختراق جهاز معين.
إذا تم اختراق تطبيق Instagram الخاص بك ، فسيكون لدى المتسلل وصول سهل إلى بيانات GPS والكاميرا والميكروفون وجهات الاتصال والمزيد.
كشف البحث الذي أجرته Check Point عن الثغرة الخطيرة التي قد تسمح للمهاجمين بتنفيذ التعليمات البرمجية الضارة عن بعد في هاتفك. يشار إليه تقنيا باسم – تنفيذ التعليمات البرمجية عن بعد (RCE).
يمكن أن تسمح هذه الثغرة للمهاجم بتنفيذ أي إجراء يرغب فيه في تطبيق Instagram (حتى لو لم يكن في الواقع جزءا من منطق التطبيق أو ميزاته). نظرا لأن تطبيق Instagram لديه أذونات واسعة جدا مطلوبة حتى يعمل دون أي مشاكل ، فقد يسمح للمهاجم بتحويل الهاتف المستهدف على الفور إلى أداة تجسس مثالية مما يعرض بدوره خصوصية ملايين المستخدمين لخطر جسيم.
كان السبب وراء الثغرة الأمنية هو Mozjpeg ، وهو مشروع مفتوح المصدر يستخدمه Instagram كوحدة فك ترميز للصور بتنسيق JPEG للصور التي تم تحميلها على الخدمة. يعتمد Instagram على مكتبات الطرف الثالث مثل هذه للتعامل مع الوظائف الشائعة للتطبيق ، مثل معالجة الصور. بهذه الطريقة ، تكون مهمة المطور أقل عبئا مما هي عليه بالفعل.
تتضمن الموارد التي يمكن الوصول إليها بواسطة المتسلل بعد اختراق جهازك ، على سبيل المثال لا الحصر ، جهات الاتصال وتخزين الجهاز وخدمات الموقع وكاميرا الجهاز. المشكلة الأساسية التي يمكن أن يسببها الاختراق هي تعطل تطبيق Instagram ، والذي لن يتم حله ما لم يعيد المستخدم تثبيت التطبيق.
لحسن الحظ ، تم الإبلاغ عن النتائج إلى Facebook وفريق Instagram ، حيث ردت الشركات بأنها ستصدر تصحيحا على الإصدار الأحدث من التطبيق ، على كل منصة يتوفر عليها Instagram.
تم إصدار التصحيح لهذا بالفعل منذ 6 أشهر بواسطة Facebook و Instagram والذي كان سيسمح لكل مستخدم بتحديث التطبيق حتى الآن. إذا لم تكن تستخدم أحدث إصدار من التطبيق ، فنحن نقترح عليك بشدة تحديثه من متجر Play / App Store أو أي متجر متاح على النظام الأساسي الخاص بك.