هک گوشی با اینستاگرام!

خلاصه: آسیب‌پذیری خطرناک اینستاگرام اجازه هک دستگاه‌های اندرویدی از راه دور را فراهم می‌کند. این آسیب‌پذیری وصله شده و اگر دستگاه شما به روز است نگران این آسیب‌پذیری نباشید.

 

 

کارشناسان شرکت امنیتی چک‌پوینت دو آسیب‌پذیری بحرانی روی برنامه اندرویدی اینستاگرام یافته‌اند که امکان حمله از راه دور و در دست گرفتن کنترل دستگاه قربانیان را تنها با ارسال یک عکس آلوده فراهم می‌نماید.

مساله نگران کننده‌تر در مورد این آسیب‌پذیری این است که مهاجم نه تنها می‌تواند از طرف کاربر قربانی فعالیت‌هایی را در حساب اینستاگرام قربانی انجام دهد، پیام‌های خصوصی قربانی را خوانده و یا از طرف آن تصاویری را پست یا حذف نماید، می‌تواند روی دستگاه قربانی کد‌های مخرب اجرا کند.

بر اساس اطلاعیه فیس‌بوک، مالک شبکه اجتماعی اینستاگرام، این آسیب‌پذیری که با شناسه CVE-2020-1895 شناخته شده و سطح خطر ۷.۸ را دارد همه نسخه‌های اندروید اینستاگرام که قبل از تاریخ ۱۰ فوریه سال ۲۰۲۰ منتشر شده‌اند را تحت تاثیر قرار می‌دهد.

کارشناسان چک‌پوینت می‌گویند این آسیب‌پذیری دستگاه قربانی را به یک دستگاه جاسوسی تبدیل می‌نماید که بدون اطلاع از آن سو‌استفاده می‌نماید. این آسیب‌پذیری می‌تواند منجر به حملاتی شود که حریم خصوصی قربانی را به شدت تحت تاثیر قرار می‌دهد.

بعد از کشف این آسیب‌پذیری توسط کارشناسان چک‌پوینت و گزارش این آسیب‌پذیری به فیس‌بوک، این آسیب‌پذیری وصله شده است. انتشار عمومی این آسیب‌پذیری پس از شش ماه به این دلیل است که زمان کافی برای کاربران برای به‌روز‌رسانی نرم‌افزارهای آسیب‌پذیر خود وجود داشته باشد.

فیس بوک اعلام نموده است که نشانه‌ای از سو‌استفاده از این آسیب‌پذیری مشاهده ننموده است.

بر اساس گزارش چک‌پوینت، آسیب‌پذیری تخریب حافظه امکان اجرای کد از راه دور را فراهم می‌کند که با استفاده از اجازه دسترسی برنامه اینستاگرام به دوربین، مخاطبین، مکان‌یابی، کتابخانه تصاویر و میکروفون می‌تواند هر عمل مخربی را روی دستگاه قربانی فراهم می‌نماید.

این آسیب‌پذیری در یک انکدر متن باز با نام MozJPEG است که اینستاگرام برای بارگذاری تصاویر در پهنای باند کم و فشرده‌سازی بهتر برای بارگذاری تصاویر روی این سرویس استفاده می‌نماید. یک دستور آسیب‌پذیر در این انکدر به مهاجم اجازه می‌دهد که حافظه اختصاص داده شده به تصویر را دستکاری کرده و موارد بدخواهانه خود را اجرا نماید.

خوشبختانه این باگ به زودی رفع شده و اگر نرم‌افزار خود را به روز نموده باشید مشکلی با این آسیب‌پذیری نخواهید داشت. ولی مساله این است که ممکن است آسیب‌پذیری‌های مشابهی در این نرم‌افزار، کتابخانه‌های آن و در دیگر نرم‌افزار‌ها وجود داشته باشد. پس لازم است که برای حفاظت از امنیت و حریم خصوصی خود نکاتی را در نظر بگیرید:

• به‌روز‌رسانی، به‌روز‌رسانی، به‌روز‌رسانی!!

مطمین باشید که برنامه‌های شما به روز هستند. بسیاری از آسیب‌پذیری‌ها در نسخه‌های جدید نرم‌افزار‌ها رفع می‌شوند. آسیب‌پذیری‌های موجود در نرم‌افزارهای به روز نشده از مهم‌ترین ضعف‌های امنیتی سیستم‌ها است.

• توجه به اجازه‌ها

توجه بیشتری به دسترسی‌هایی داشته باشید که به هر برنامه می‌دهید. اجازه‌هایی که به برنامه‌ها می‌دهید ممکن است مورد سو‌استفاده قرار گیرد.

• قبل از اجازه فکر کنید!

چند ثانیه قبل از اینکه به برنامه‌ها اجازه‌ای دهید فکر کنید! برخی اوقات اجازه‌هایی که برنامه‌ها درخواست می‌کنند منطقی نیست و با هدف سو‌استفاده هستند. پس قبل از هر اجازه دسترسی فکر کنید و اگر فکر میکنید که برنامه به آن نیاز ندارد به آن اجازه ندهید.