Una vulnerabilità di Instagram avrebbe potuto consentire a un attaccante di acquisire il pieno controllo di un profilo utente inviando un’immagine con un codice malevolo
Una vulnerabilità di Instagram ha potenzialmente esposto gli utenti a delle violazioni dell’account. I ricercatori di sicurezza di Check Point Research hanno scoperto che un aggressore avrebbe potuto, tramite l’invio di un’immagine contenente un codice malevolo, prendere il controllo del profilo di un utente trasformando così il telefono del bersaglio in uno strumento di spionaggio.
Check Point Research ha spiegato che la vulnerabilità riguardava il modo in cui Instagram leggeva la libreria delle fotografie sul dispositivo dove è installato. Agli aggressori sarebbe bastato inviare un’immagine malevola modificata ad arte tramite email, WhatsApp o qualsiasi altra piattaforma utile per scambiare contenuti multimediali.
Dopo aver salvato l’immagine nella libreria delle foto, processo che per alcuni dispositivi avviene automaticamente quando si visualizza una foto su WhatsApp, e averla aperta tramite Instagram, il codice malevolo contenuto dell’immagine agirà come exploit per dare ai cybercriminali il pieno accesso a Direct Message, alle immagini caricate dalla vittima consentendogli inoltre di agire come se il profilo e il telefono fossero loro. L’exploit consentirebbe di caricare nuove fotografie, eliminare quelle già pubblicate, avere accesso alla fotocamera o ai contatti e alla posizione del telefono a questo punto diventava un gioco da ragazzi.
I ricercatori di cybersecurity hanno individuato la vulnerabilità in una porzione del codice con cui è stata costruita l’applicazione di Instagram. Si tratta del decodificatore Jpeg open source, Mozjpeg, usato dal social network per caricare le immagini nell’applicazione. Di conseguenza tutti gli altri sviluppatori che lo hanno inserito nella propria applicazione potrebbero essere incappati nel medesimo problema.
Il bug non sarebbe quindi una responsabilità diretta di Instagram ma di un prodotto di una terza parte che il social network ha adoperato nella sua programmazione. Check Point Research ha messo in guardia tutti gli sviluppatori sui “potenziali rischi derivanti dall’utilizzo di librerie di codice di terze parti nelle loro app senza controllarne le falle di sicurezza”.
La società di sicurezza, pubblicando l’esistenza di tale vulnerabilità, ha spiegato di aver prontamente avvisato Instagram non appena ha individuata la falla, dando così tempo alla piattaforma dell’universo Facebook di creare una patch per correggerla su Android e iOS prima della divulgazione. “Abbiamo risolto il problema e non abbiamo visto alcuna prova di abuso”, ha commentato Facebook ringraziando Check Point per l’aiuto fornito.
Leggi anche
Potrebbe interessarti anche