Check Point: Sicherheitsforscher konnten Instagram-App knacken

Hoffnung der Sicherheitsforscher, dass mittlerweile alle Anwender der Instagram-App die Patches installiert haben

[datensicherheit, 26.09.2020] Laut einer aktuellen Meldung von Check Point soll es eigenen Sicherheitsforschern gelungen sein, die Smartphone-App für „Instagram“ zu knacken und so das Konto wie auch das Gerät zu übernehmen und zu überwachen. Yaniv Balmas, „Head of Cyber Research“ bei Check Point Software Technologies, geht in seiner Stellungnahme auf diese Entdeckung ein. Die Schwachstelle sei von Check Point bereits vor sechs Monaten entdeckt und an facebook, den Eigner von „Instagram“, gemeldet worden. Die Lücke sei bald darauf geschlossen worden, doch Check Point habe sich zur langen Wartezeit entschieden, um keine Nutzer zu gefährden. Die Sicherheitsforscher hofften nun, „dass mittlerweile alle Anwender die Patches installiert haben“. facebook habe die Lücke als CVE-2020-1895 aufgenommen.

Bild: Check Point

Yaniv Balmas: Programmdatenbanken von Drittanbietern können gefährliches Einfallstor sein!

Social-Media-Plattform Instagram unter die Lupe genommen und gefährliche Schwachstelle gefunden

Sicherheitsforschern von Check Point ist es demnach gelungen, mit Malware verseuchte Bilder einzusetzen, um die „Instagram“-App auf Smartphones zu attackieren. Der Diebstahl von Konten und die Überwachung des Mobilgeräts des potenziellen Opfers seien dadurch möglich geworden.
Sie hätten die beliebte Social-Media-Plattform „Instagram“ unter die Lupe und eine gefährliche Schwachstelle gefunden. „Mithilfe eines verseuchten Fotos konnten die Experten Nutzerkonten stehlen und Mobilgeräte überwachen.“ „Instagram“ zähle derzeit über eine Milliarde Nutzer auf der Welt.

Daten-Verlust möglich: Hacker könnte Instagram-App abstürzen lassen und dem Nutzer Zugriff verwehren

Der Vorgang sei denkbar einfach: Angreifer hätten lediglich ein infiziertes Bild an einen Nutzer über E-Mail, „WhatsApp“ oder „MMS“ schicken müssen – oder über eine andere Plattform ihrer Wahl. „Sobald der Anwender das Bild speichert (was bei ,WhatsApp‘ unter Werkseinstellungen automatisch geschieht) und die ,Instagram‘-App auf seinem Smartphone öffnet, wird die Malware hinter dem Bild aktiviert.“
Auf diese Weise erhalte der Angreifer volle Kontrolle über das Mobilgerät des Opfers, um es fernzusteuern. Daraufhin eröffneten sich ihm verschiedene Möglichkeiten: Der Hacker könnte die „Instagram“-App abstürzen lassen und dem Nutzer solange den Zugriff darauf verwehren, bis diese gelöscht und erneut installiert wird, was zu Daten-Verlust führen könne.

Hacker hätten Zugang zum Nutzerkonto des Opfers bei Instagram gewinnen und dessen Nachrichten sowie Bilder einsehen können

Außerdem erlange der Hacker den Zugang zum Nutzerkonto des Opfers bei „Instagram“ und könne dessen Nachrichten und Bilder einsehen, Fotos löschen und neue veröffentlichen, sowie die Profildaten ändern.
Schließlich könne er das Smartphone in eine Wanze verwandeln, weil die „Instagram“-App enorm viele Zugriffsberechtigungen auf verschiedene Funktionen des Smartphones fordere. „Das kommt dem Angreifer sehr gelegen, denn so erhält er Einsicht in die Kontakte, den GPS-Standort, die gespeicherten Dateien und kann die Kamera auslesen“, warnt Balmas.

Konkrete Sicherheitslücke wurde in Mozjpeg (Open-Source-Decoder für jpeg-Bilder) gefunden

Die konkrete Sicherheitslücke hätten die Sicherheitsforscher in „Mozjpeg“, einem Open-Source-Decoder für jpeg-Bilder, gefunden, den „Instagram“ nutze, um Bilder in die Anwendung zu laden. Aus diesem Grund warnten die Experten alle Entwickler davor, solche Drittanbieter-Programme einzusetzen, ohne eingehend deren Sicherheit zu prüfen.
„Zum einen ergaben unsere Nachforschungen, dass die Programmdatenbanken von Drittanbietern ein gefährliches Einfallstor sein können. Daher empfehlen wir allen Entwicklern diese Software umfangreich zu prüfen, bevor sie eingebunden wird und die gesamte App-Struktur gefährdet. Solche Drittanbieter-Programme aus Open-Source-Quellen sind weit verbreitet. Außerdem raten wir allen Nutzern dringend, sich darüber zu informieren, welche oft weitreichenden Berechtigungen eine App bei der Installation erfordert. Das ist die stärkste Verteidigungslinie gegen Smartphone-Attacken“, erklärt Balmas.

Weitere Informationen zum Thema:

Check Point Blog
#InstaHack: how researchers were able to take over the Instagram App using a malicious image

cp<r> CHECK POINT RESEARCH, Gal Elbaz, 24.09.2020
#Instagram_RCE: Code Execution Vulnerability in Instagram App for Android and iOS

datensicherheit.de, 16.08.2018
Instagram-Hacking-Welle: Phishing möglicher Angriffsvektor / Phishing-Angriffe Ende Juli signifikant gestiegen