Industry Wire

Geplaatst door Check Point

#Instahack: Hoe een hacker via een kwaadaardige afbeelding jouw Instagram-account en smartphone kan overnemen

Onderzoekers van Check Point hebben een kwetsbaarheid in de beeldverwerking van Instagram ontdekt. Deze zou hackers in staat hebben gesteld om met één afbeelding Instagram-accounts over te nemen en de smartphone van een slachtoffer als een spionage-instrument te gebruiken om toegang te krijgen tot de GPS-locatie, hun contacten en de camera.

Bunnik, 25 september 2020 – Beveiligingsonderzoekers van Check Point identificeerden een kritiek lek in Instagram, de populaire app om foto’s en video’s te delen met meer dan 1 miljard gebruikers over de hele wereld. De kwetsbaarheid zou een aanvaller de mogelijkheid hebben gegeven om het Instagram-account van een slachtoffer over te nemen en zijn telefoon in een spionagetool om te toveren, door hem simpelweg een kwaadaardig beeldbestand te sturen.

Aanval in drie stappen
Om de kwetsbaarheid uit te buiten, zou de aanvaller maar één afbeelding nodig hebben. Check Point onderzoekers vatten de aanval samen in drie stappen:

  1. De aanvaller stuurt een afbeelding naar het doelwit, via e-mail, WhatsApp of een ander media-uitwisselingsplatform.
  2. De foto wordt opgeslagen op de smartphone van de gebruiker. Dit kan automatisch of handmatig gebeuren, afhankelijk van de verzendmethode, het type smartphone en de configuratie. Een foto die bijvoorbeeld via WhatsApp wordt verzonden, wordt standaard automatisch op de telefoon opgeslagen.
  3. Het slachtoffer opent de Instagram-app en activeert zo het misbruik, waardoor de hacker het toestel vanop afstand kan overnemen.

Instagram-account overnemen en smartphone veranderen in een spionagetool
De kwetsbaarheid geeft de aanvaller volledige controle over de Instagram-app, waardoor de hacker allerlei acties kan uitvoeren zonder toestemming – en medeweten – van de gebruiker. Hij kan bijvoorbeeld de privéberichten lezen op het Instagram-account, foto’s verwijderen of plaatsen, of de accountprofielgegevens aanpassen.

De Instagram-applicatie heeft ook uitgebreide machtigingen die toegang geven tot andere functies op de telefoon van de gebruiker, zodat een aanvaller dezelfde kwetsbaarheid ook kan gebruiken om contacten, locatiegegevens, de camera’s en bestanden die op het apparaat zijn opgeslagen te raadplegen, waardoor de smartphone een perfect spionage-instrument wordt.

Het ‘kleinste’ gevolg is dat een hacker de Instagram-app van de gebruiker kan laten crashen. De gebruiker heeft dan geen toegang meer en moet de app van zijn toestellen verwijderen en opnieuw installeren. Dat kan tot mogelijk verlies van zijn data leiden.

Gevaar bij het gebruik van (open source) code van derden
Onderzoekers van Check Point vonden de kwetsbaarheid in Mozjpeg. Dat is een open source JPEG-decoder die door Instagram wordt gebruikt om afbeeldingen te uploaden naar de applicatie. Als gevolg daarvan waarschuwen onderzoekers de ontwikkelaars van apps voor de mogelijke risico’s bij het gebruik van bibliotheken met code van derden in hun apps, zonder die eerst goed te controleren op beveiligingsfouten. Applicatieontwikkelaars schrijven immers vaak niet de hele applicatie zelf. In plaats daarvan besparen ontwikkelaars tijd door code van derden te gebruiken voor veelvoorkomende taken zoals beeld- en geluidsverwerking, netwerkverbindingen en meer. Maar zo’n 3rd party code bevat vaak kwetsbaarheden die kunnen leiden tot beveiligingslekken in de volledig afgewerkte app, zoals in dit geval met Instagram.

Yaniv Balmas, hoofd van Cyber Research bij Check Point: “Na het uitvoeren van dit onderzoek, kwamen twee punten aan de oppervlakte. Ten eerste kunnen bibliotheken met code van derden een ernstige bedreiging vormen. We dringen er sterk op aan dat ontwikkelaars van softwareapplicaties de 3rd party code-bibliotheken die ze gebruiken om hun applicatie-infrastructuren te bouwen, goed doorlichten en er tegelijkertijd voor zorgen dat de integratie goed gebeurt. 3rd party code wordt in vrijwel elke applicatie gebruikt, en het is erg gemakkelijk om ernstige bedreigingen die erin zijn ingebed, te missen. Vandaag is het Instagram, morgen – wie weet?”

Kijk de machtigingen na
Ten tweede moeten consumenten – de gebruikers van de apps – de tijd nemen om de rechten te controleren die een applicatie op hun apparaat heeft.

“De ‘app vraagt om toestemming’-berichten kunnen hinderlijk lijken, en het is heel gemakkelijk om gewoon op ‘Ja’ te klikken en het te vergeten. Maar in de praktijk is dit een van de sterkste verdedigingslinies die iedereen heeft tegen mobiele cyberaanvallen, en ik zou iedereen adviseren om een minuut te nemen en na te denken: wil ik deze applicatie echt toegang geven tot mijn camera, mijn microfoon, en zo verder”, aldus Yaniv Balmas.

Verplichte openbaarmaking
Onderzoekers van Check Point hebben hun bevindingen – zoals verplicht – op verantwoorde wijze bekend gemaakt aan Facebook, de eigenaar van Instagram. Facebook erkende onmiddellijk het probleem en beschreef de kwetsbaarheid als een “Integere Overloop die leidt tot Heap Buffer Overloop”. Facebook gaf een patch uit om de kwetsbaarheid op nieuwere versies van de Instagram-applicatie op alle platforms te verhelpen. Om ervoor te zorgen dat voldoende Instagram-gebruikers hun applicaties bijwerken, waardoor het beveiligingsrisico aanzienlijk wordt beperkt, hebben de onderzoekers van Check Point 6 maanden gewacht met het publiceren van deze bevindingen.

Facebook heeft het volgende commentaar gegeven: “We hebben het probleem opgelost en hebben geen enkel bewijs van misbruik gezien. We zijn dankbaar voor de hulp van Check Point om Instagram veilig te houden.”

Drie veiligheidstips

  1. Update! Update! Update!
    Zorg ervoor dat je de mobiele applicaties en het besturingssysteem van je smartphone regelmatig bijwerkt. Wekelijks zijn er tientallen kritieke beveiligingspatches die via deze updates worden verstuurd. Elk van deze patches kan een positieve invloed hebben op je privacy.
  2. Monitor de rechten.
    Besteed meer aandacht aan de machtigingen die applicaties vragen. Het is heel gemakkelijk voor app-ontwikkelaars om de gebruikers gewoon meer rechten te vragen dan noodzakelijk.
  3. Denk twee keer na over goedkeuringen.
    Neem telkens een paar seconden de tijd om na te denken voordat je iets goedkeurt. Stel jezelf de volgende vraag: “Wil ik deze applicatie echt zoveel toegang geven? Heb ik dat echt nodig?” En als het antwoord ‘nee’ is, keur het dan NIET goed.

Over Check Point
Check Point Software Technologies Ltd. levert cybersecurity-oplossingen aan overheden en enterprises wereldwijd. Het beschermt klanten tegen 5e generatie cyberaanvallen met een ongeëvenaarde vangstratio van malware, ransomware en andere soorten aanvallen. Check Point biedt een multi-level security-architectuur, ‘Infinity’ Total Protection met Gen V geavanceerde threat prevention, die de informatie beschermt binnen de cloud, netwerken en mobiele apparaten van enterprises. Check Point biedt het meest uitgebreide en intuïtieve ‘one point of control’ security-beheersysteem. Check Point beschermt meer dan 100.000 organisaties van elke omvang.

Dit artikel is een ingezonden bericht en valt buiten de verantwoordelijkheid van de redactie.

Deel dit bericht