Social Media
Sicherheitsforscher von Check Point knacken Instagram-App auf Smartphones
InstaHack mit manipulierten Bildern
Sicherheitsforscher von Check Point gelang es, Malware-verseuchte Bilder einzusetzen, um die Instagram-App auf Smartphones zu attackieren. Der Diebstahl von Konten und die Überwachung des Mobilgeräts sind dadurch möglich.
Die Security-Forscher von Check Point® Software Technologies Ltd. (NASDAQ: CHKP) nahmen die beliebte Social-Media-Plattform Instagram unter die Lupe und fanden eine gefährliche Schwachstelle. Mithilfe eines verseuchten Fotos konnten die Experten Nutzerkonten stehlen und Mobilgeräte überwachen. Instagram zählt derzeit über eine Milliarde Nutzer auf der Welt.
Der Vorgang ist denkbar einfach: Angreifer mussten lediglich ein infiziertes Bild an einen Nutzer über E-Mail, WhatsApp oder MMS schicken – oder eine andere Plattform ihrer Wahl. Sobald der Anwender das Bild speichert (was bei WhatsApp unter Werkseinstellungen automatisch geschieht) und die Instagram-App auf seinem Smartphone öffnet, wird die Malware hinter dem Bild aktiviert. Auf diese Weise erhält der Angreifer volle Kontrolle über das Mobilgerät des Opfers, um es fernzusteuern. Daraufhin eröffnen sich ihm verschiedene Möglichkeiten: Der Hacker kann die Instagram-App abstürzen lassen und dem Nutzer solange den Zugriff darauf verwehren, bis diese gelöscht und erneut installiert wird, was zu Daten-Verlust führen kann. Außerdem erlangt der Hacker den Zugang zum Nutzerkonto des Opfers bei Instagram und kann dessen Nachrichten und Bilder einsehen, Fotos löschen und neue veröffentlichen, sowie die Profildaten ändern. Schließlich kann er das Smartphone in eine Wanze verwandeln, weil die Instagram-App enorm viele Zugriffsberechtigungen auf verschiedene Funktionen des Smartphones fordert. Das kommt dem Angreifer sehr gelegen, denn so erhält er Einsicht in die Kontakte, den GPS-Standort, die gespeicherten Dateien und kann die Kamera auslesen.
Die konkrete Sicherheitslücke fanden die Sicherheitsforscher in Mozjpeg, einem Open-Source-Decoder für jpeg-Bilder, den Instagram nutzt, um Bilder in die Anwendung zu laden. Aus diesem Grund warnen die Experten alle Entwickler davor, solche Drittanbieterprogramme einzusetzen, ohne eingehend deren Sicherheit zu prüfen. „Zum einen ergaben unsere Nachforschungen, dass die Programmdatenbanken von Drittanbietern ein gefährliches Einfallstor sein können. Daher empfehlen wir allen Entwicklern diese Software umfangreich zu prüfen, bevor sie eingebunden wird und die gesamte App-Struktur gefährdet. Solche Drittanbieterprogramme aus Open-Source-Quellen sind weit verbreitet. Außerdem raten wir allen Nutzern dringend, sich darüber zu informieren, welche oft weitreichenden Berechtigungen eine App bei der Installation erfordert. Das ist die stärkste Verteidigungslinie gegen Smartphone-Attacken,“ erläutert Yaniv Balmas, Head of Cyber Research bei Check Point Software Technologies .
Die Schwachstelle wurde von Check Point bereits vor sechs Monaten entdeckt und an Facebook, den Eigner von Instagram, gemeldet. Die Lücke wurde bald darauf geschlossen, doch Check Point entschied sich zur langen Wartezeit, um keine Nutzer zu gefährden. Die Sicherheitsforscher hofften, dass mittlerweile alle Anwender die Patches installiert haben würden. Facebook hat die Lücke als CVE-2020-1895 aufgenommen.
Einen Überblick der Nachforschung erhalten Sie hier: https://blog.checkpoint.com/2020/09/24/instahack-how-researchers-were-able-to-take-over-the-instagram-app-using-a-malicious-image/
Technische Einzelheiten lesen Sie hier: https://research.checkpoint.com/2020/instagram_rce-code-execution-vulnerability-in-instagram-app-for-android-and-ios/
